В файле /var/log/wtmp хранится история заходов в CentOS по протоколу SSH.

Файл wtmp бинарный, поэтому читать его желательно с помощью специальных утилит, например, утилитой last:

last
root     pts/0        213.180.204.11		Thu Jun 27 12:02 - 12:31  (00:29)    
root     pts/0        213.180.204.11		Thu Jun 27 12:00 - 12:02  (00:02)    
reboot   system boot  2.6.32-042stab07		Thu Jun 27 11:59 - 15:53 (8+03:53)   
root     pts/1        213.180.204.11		Thu Jun 27 11:43 - down   (00:15)    
root     pts/0        46.20.68.157		Thu Jun 27 11:31 - down   (00:27)    
reboot   system boot  2.6.32-042stab07		Thu Jun 27 11:27 - 11:59  (00:31)

В этом примере злоумышленник оказался в системе (терминал pts/0 46.20.68.157) под root одновременно с системным администратором. Система была перезагружена и злоумышленник не успел подчистить следы. IP 46.20.68.157 не вымышленный адрес хакера. Эта машина отвечает на пинги и у нее открыт 22 порт.