Parece ser um login bem-sucedido com duração de menos de um minuto. O comando last mostra apenas logins bem-sucedidos por padrão.
Você pode confirmar isso examinando os registros do sistema (por exemplo, /var/log/messages e /var/log/audit/audit.log ) e procurando eventos de login e logout.
Recentemente, tive a chance de examinar uma máquina comprometida, e o compromisso seguiu um padrão semelhante. Após o primeiro compromisso bem-sucedido, o atacante pode simplesmente anotar as informações do seu servidor para serem transmitidas posteriormente a outros criminosos. Se o seu sistema permanecer aberto, espere os logins nos próximos dias em todo o mundo.