Parece ser um login bem-sucedido com duração de menos de um minuto. O comando last
mostra apenas logins bem-sucedidos por padrão.
Você pode confirmar isso examinando os registros do sistema (por exemplo, /var/log/messages
e /var/log/audit/audit.log
) e procurando eventos de login e logout.
Recentemente, tive a chance de examinar uma máquina comprometida, e o compromisso seguiu um padrão semelhante. Após o primeiro compromisso bem-sucedido, o atacante pode simplesmente anotar as informações do seu servidor para serem transmitidas posteriormente a outros criminosos. Se o seu sistema permanecer aberto, espere os logins nos próximos dias em todo o mundo.