我怎样才能恢复我的/根目录，并找出谁删除它？

恢复：我不知道，对不起。 你可以假设我对你应该如何进行备份做了一些评论;）

谁欺骗它：假设每个人都远程访问本机（最好通过SSH），那么last应告诉你最后一个人login的IP地址和用户名。

misc：当你说3个人拥有root密码时：我可以推荐（如果你还没有这样做），你在sshd.conf文件中设置了PermitRootLogin no ，只要确保这些pipe理员的ssh是他们自己的帐户，然后用su 。 这给你另外一层安全性以及更多的日志信息（而不仅仅是连接的IP地址'root'，你会看到Jon ssh进入服务器，然后取得root权限。

问他们。 如果他们不能被信任来回答关于他们在机器上所做的事情的问题，那么他们不能被root访问所信任。

以root身份运行此命令：

 root@host:/# grep rm /var/log/audit/audit.log 

很多信息存储在/var/log/ ，审计日志对我很有用。

为了恢复，请尝试testing盘

如果有更多的人知道root密码，那并不意味着它就是其中之一。 如果你的服务器暴露在互联网上，并没有更新安全补丁，它可能已经被拥有。

debugging这些问题的一个好的做法是设置远程日志logging。 如果攻击者获得了控制权并且做了坏事，他就不能抹去日志来掩饰自己，因为它们不存储在同一台计算机上。