¡ Fácil !

Si hasta yo que no soy hacker (que honestamente no conozco el primero) puede empezar a leer tu estructura PHP, muy fácil es enviar peticiones de conexión a la BD por medio de métodos POST y GET (Por lo general los robots los hacen por CURL o ponen plugins en clientes que simulan navegadores). Tal vez te hicieron una inyección de código y con ello rescataron algún mensaje de error que diera la dirección de tu server MySQL.

Recuerda no dejar ver errores al público que si en tu sitio sale algo como:
"
[07-Feb-2013 16:31:53 America/Bogota] PHP Warning: mysql_connect() [<a href='function.mysql-connect'>function.mysql-connect</a>]: Access denied for user 'root'@'localhost' (using password: NO) in /home/cooperat/public_html/cms/core/php/conexion.php on line 2
"
un sistema pre-programado puede ver que una ruta de acceso para inyección de código puede ser "/home/cooperat/public_html/cms/core/php/conexion.php" e iterar un intento de envío de contraseñas hasta dar con la que es.

Recuerda que no son personas (por lo general), son programas los que hacen ésto.

Algo habrás entendido de todo ese enredo que te escribí.