Зависит от разных вещей. Если был использован sudo, то команда должна быть зарегистрирована в /var/log/secure.
. Вы можете выполнить этот скрипт, чтобы проверить историю команд пользователей на сервере.
# the command that moved/copied home directory
# COMMAND=mv
COMMAND=cp
for user in $(ls /home/); do
# I assume that users use bash as their shell
sudo grep --with-filename ${COMMAND} /home/${user}/.bash_history 2>/dev/null
done