efectivamente la unica opcion que tienes es usar telnet una vez que sabes los puertos abiertos.
Como scaner el mejor es nmap.

Lo que hace el Languard es que tiene una lista de puerto-aplicacion mas probables...algo como esto: http://www.hackingballz.com/todo_sobre_puertos

el nmap ya incluye la opción de sacar el "tcp banner" del servicio que está corriendo en un puerto concreto... aunque tal y como dice kr0sty, éste se puede cambiar.

Creo que algo así es lo que dijo el brujo, puede ser esto?

# nmap -A -T4 -F www.insecure.org

Starting nmap 3.40PVT16 ( http://www.insecure.org/nmap/ ) at 2003-09-06 19:49 PDT
Interesting ports on www.insecure.org (205.217.153.53):
(The 1206 ports scanned but not shown below are in state: filtered)
PORT    STATE  SERVICE VERSION
22/tcp  open   ssh     OpenSSH 3.1p1 (protocol 1.99)
25/tcp  open   smtp    Qmail smtpd
53/tcp  open   domain  ISC Bind 9.2.1
80/tcp  open   http    Apache httpd 2.0.39 ((Unix) mod_perl/1.99_07-dev Perl/v5.6.1)
113/tcp closed auth
Device type: general purpose
Running: Linux 2.4.X|2.5.X
OS details: Linux Kernel 2.4.0 - 2.5.20
Uptime 108.307 days (since Wed May 21 12:27:44 2003)

Nmap run completed -- 1 IP address (1 host up) scanned in 34.962 seconds

Lo encontré en http://www.insecure.org/nmap/versionscan.html

Saludos!